• ----:)欢迎访问源码网(:----
    • 首页
    • 博客
    • 学院
    • 下载
    • 论坛
    • 影视
    • 发布源码
    • RSS
    • ITPig
    • 笑话网
    • 百家姓
    • 繁體中文

源码网 - 中国第一源码门户
选择镜像:网通镜像 - 电信主站
  • 首 页
  • 新闻动态
  • 网站运营
  • 网页制作
  • WEB开发
  • 编程开发
  • 图像媒体
  • 操作系统
  • 数据库
  • 服务器
热门搜索 优化 SEO 故事 cms IIS7 MySQL 个人 AdSense 主题推广 | 文章搜索: 高级搜索
会员登录/控制面版您的位置: 学院首页 >> 数据库 >> MSSQL >> 详细内容
 

推荐文章

  • SQL数据库的备份、压缩与SQL数据库数据处理的方法
  • 压缩SQL数据库
 
 

热点文章

  • 安装SQL Server 2005实例环境图解
  • SQL数据库的备份、压缩与SQL数据库数据处理的方法
  • SQL SERVER 2005数据库镜像
  • SQL数据库还原出现错误112(磁盘空间不足)的解决办法
  • Server 2005性能排错
  • 在SQL Server中的关系型数据仓库分区策略
  • 如何使用SQL Server 2000中的XML功能
  • 压缩SQL数据库
  • SQL Server 2000中的SQL语言简介
  • SQLServer删除日志方法
  • SQL精妙语句
  • SQL Server 2000中的SQL语言简介(一)
 
 

相关文章

  • 修改MySQL的字符集
  • 修改MySQL密码的方法
  • 修改,审核,删除,ASP 代码
  • MySQL入门学习(六)修改和备份、批处理
  • “农村包围城市”SQL Server 2005“绸缪”企业级市场
  • SQL Server 2005中处理表分区问题
  • SQL Server 2005中Tempdb变化分析
  • SQL Server 2005的XML支持机制和安全机制
  • SQL SERVER 2005数据库镜像
  • SQL Server 2005性能测试之CPU篇
  • 安装SQL Server 2005实例环境图解
  • SQL Server 2005与DB2 8.2之对比
 
 

百度搜索

 
 

修改SQL Server 2005执行环境

  • 阅览次数:
  • 文章来源: a hear
  • 原文作者: 不详
  • 整理日期: 2007-04-07
  • 发表评论
  • 字体大小:
  • 小
  • 中
  • 大

执行环境是SQL Server中设定用户权限的认证方式,例如,当您登录到SQL Server的时候,登录账户就被赋予了一定的权限,其中可能包括登录的功能、访问数据库以及在数据库中执行某些操作的功能。

SQL Server 2005包含了EXECUTE AS语句,通过使用EXECUTE AS语句,您可以为批处理和过程转换执行环境,这样,调用该批处理或过程的用户就可以使用不同的权限来操作了。

所有权链

在我正式讲解SQL Server 2005中执行环境的问题之前,先来简单地说说所有权链的工作原理。

当用户执行一个存储过程的时候(假定该用户拥有执行该存储过程的权限),SQL Server将该存储过程的所有者与这个存储过程所涉及到的对象的所有者进行对比,如果他们的所有者相同,那么就不必对这些引用对象的权限进行评估了。

所以,如果用户Tim获得了存储过程usp_ProcedureChain的权限,而usp_ProcedureChain存储过程的所有者是dbo,那么,如果dbo还同时拥有usp_ProcedureChain所调用的其他存储过程,那么Tim在执行这个存储过程的时候就不会出现错误。

执行环境的转换

在SQL Server 2000中,您可以使用SETUSER命令来模拟SQL用户的执行环境,但问题在于,只有系统管理员或者数据库的所有者才能使用这个命令,而且Windows账户也不能使用该命令。

在SQL Server 2005中,EXECUTE AS语句可以替代SETUSER来改变存储过程、触发器、批处理或者函数的执行环境。如果执行环境变成了另外一个用户,那么SQL Server将检查该用户的权限。如果您需要在创建或修改一个存储过程或函数的时候指定EXECUTE AS语句,您需要具备IMPERSONATE的权限,以及创建该对象的权限。

实例

正如我刚才所介绍的一样,改变存储过程的执行环境非常有用,接下来我将通过实例来讲解如何实现这一功能。在这个例子中,您会看到如何使用EXECUTE AS将没有确切权限的使用者模拟为所有者对表格进行插入操作。

在第一行语句中,我使用了REVERT命令,这样,您就可以完整地返回到例子中,而不必担心需要清除任何对象。

REVERT 

GO

在下面的代码的第七行,我使用了清除语句,这样可以检查我在随后的例子中要使用的对象是否已经存在,如果已经存在,就将其清除。

IF OBJECT_ID('usp_InsertMyTable','P')>0 

DROP PROCEDURE usp_InsertMyTable 

GO 

IF OBJECT_ID('TableOwnerSchema.MyTable','U')>0 

DROP TABLE TableOwnerSchema.MyTable 

GO 

IF EXISTS 

(SELECT * FROM sys.schemas WHERE name = N'TableOwnerSchema') 

DROP SCHEMA [TableOwnerSchema] 

IF EXISTS 

(SELECT * FROM sys.database_principals WHERE name = N'BaseUser') 

DROP USER BaseUser 

IF EXISTS 

(SELECT * FROM sys.server_principals WHERE name = N'BaseUser') 

DROP LOGIN BaseUser 

IF EXISTS 

(SELECT * FROM sys.database_principals WHERE name = N'TableOwner') 

DROP USER TableOwner 

IF EXISTS 

(SELECT * FROM sys.server_principals WHERE name = N'TableOwner') 

DROP LOGIN TableOwner

以下的脚本语句创建了两个登录名和数据库的用户账户,注意,CHECK_EXPIRATION和CHECK_POLICY语句,这两条语句是SQL Server 2005中新出现的。这些语句告诉SQL Server不要对这个用户账户强制执行密码截止期限策略,同时也不要进行任何类型的密码策略检查,对于强制安全策略而言,这些是非常有效的方法。

CREATE LOGIN [BaseUser] WITH PASSWORD=N'baseuser', 

DEFAULT_DATABASE=[TRS], 

CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF 

GO 

CREATE USER [BaseUser] FOR LOGIN [BaseUser] 

GO 

CREATE LOGIN [TableOwner] WITH PASSWORD=N'tableowner', 

DEFAULT_DATABASE=[TRS], 

CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF 

GO 

CREATE USER TableOwner FOR LOGIN TableOwner 

GO

在SQL Server 2005中,模式不再是和数据库用户相同的事情了,对于所包含的对象而言,它处于完全不同的名称空间。用户和模式的分离是SQL Server 2005中的一大进步,这样做使对象的所有权可以分离,而且比SQL Server 2000更易于管理,以下的语句创建了我们将要使用的数据库模式:

CREATE SCHEMA [TableOwnerSchema] AUTHORIZATION [TableOwner] 

GO 

Now I enable logins so they can be used: 

ALTER LOGIN [TableOwner] ENABLE 

ALTER LOGIN [BaseUser] ENABLE 

GO 

GRANT CREATE TABLE TO TableOwner 

GO

首先,我使用了EXECUTE AS命令,我将当前的执行环境设定为TableOwner,在运行了这个命令之后,所有的权限评估将以TableOwner运行,而以前的系统管理员权限将不再适用。

EXECUTE AS USER = 'TableOwner' 

GO

运行这个语句就能够表明现在的执行环境是TableOwner:

SELECT SESSION_USER 

GO

这个脚本将在TableOwnerSchema的模式中创建一个名为MyTable的表格,因为我已经赋予了该用户CREATE TABLE 的权限,所以TableOwner可以执行这条语句。

CREATE TABLE TableOwnerSchema.MyTable 

( 

Field1 INT 

) 

GO

当我运行REVERT语句的时候,可以在执行环境链中回退一步,在SQL Server 2005中,执行环境是可以嵌套的,所以如果您在同一个数据库连接中有很多用户在运行,您可能需要多次执行该语句以返回到原始的登录环境。

REVERT 

GO 

SELECT SESSION_USER 

GO

现在我要对新的表格进行快速选择以确认它的存在:

SELECT * FROM TableOwnerSchema.MyTable 

GO

以下的脚本创建了一个过程可以插入新的TableOwnerSchema.MyTable表格,注意我在过程定义中使用了WITH EXECUTE AS 'TableOwner'语句,这意味着该过程被执行的时候,它将在TableOwner的执行环境中被执行。

CREATE PROCEDURE usp_InsertMyTable 

WITH EXECUTE AS 'TableOwner' 

AS 

BEGIN 

INSERT INTO TableOwnerSchema.MyTable(Field1)VALUES(8) 

END 

GO

我还可以将执行权限赋予一个用户账户,在这种情况下,我使用以前创建的名为BaseUser的用户。

GRANT EXEC ON usp_InsertMyTable TO BaseUser 

GO

接下来,我将执行环境转换为BaseUser并尝试运行存储过程:

EXECUTE AS USER = 'BaseUser' 

GO 

EXEC usp_InsertMyTable 

GO

现在我可以向TableSchema.MyTable表格中添加记录了,因为在这个过程中TableOwner允许我这样做,而BaseOwner并没有明确的权限可以向该表格添加记录,所以该用户的任何尝试都会导致错误的发生。为了演示这个问题,可以运行以下的脚本,该脚本改变了我们刚才的过程,改为运行在调用者的执行环境中。

REVERT 

GO 

ALTER PROCEDURE usp_InsertMyTable 

AS 

BEGIN 

INSERT INTO TableOwnerSchema.MyTable(Field1)VALUES(8) 

END 

GO 

EXECUTE AS USER = 'BaseUser' 

GO 

EXEC usp_InsertMyTable 

GO 

REVERT

开发者和数据库管理员会发现在执行存储过程的时候转换权限非常有用,尤其是您处理TRUNCATE TABLE语句的时候,这个方法能帮上大忙,因为TRUNCATE TABLE并没有可以指定的权限。您可以将权限赋予将要进行截取表格操作的用户,然后在操作结束的时候再将原有的权限设定恢复

 

上一篇:比AcdSee功能还强大的图片处理、编辑软件,推荐下载!
下一篇:ASP上传漏洞防范
  • 网友评论:
  • 查看所有评论
  • 我要发表评论
您的网名:
留言主题:
你要发表的内容:

 

关于本站 | 广告联系 | 版权声明 | 网站地图 | 发布软件 | 帮助中心 | 源码论坛

Copyright © 2005-2007 CodePub.Com  程序支持:木翼  滇ICP备05005971号