Есть несколько хранимых процедур, причем они могут быть вызваны либо пользователем, либо другой хранимой процедурой. Как узнать, кто вызвал процедуру, пользователь или другая процедура?
При условии чтоб пользователь вызывая хранимую процедуру, например, из квери аналайзера, не смог бы имитировать вызов из хранимой процедуры.

Как можно получить текущий id_process ?
Как прочесть значение текущего поля из команда dbcc inputbuffer(id_process) ?

Как вообще можно просто узнать, какая хранимая процедура запущена?

>А вообще-то лучше роцедуры разделить на две группы: интерфейсные и внутрисистемные.

@@NESTLEVEL
Честно говоря дырь всеж остается, ибо пользователь может в другой базе (где у него есть права) создать процедуру и вызвать из нее эту, получив тем самым число более 1.

>А вообще-то лучше роцедуры разделить на две группы: интерфейсные и внутрисистемные.
Это конечно правильно, так и планировали сделать, но не удалось все так сделать.

>Tulkin
А полегче конструкции нет?

>Tulkin
Стоп, а как отсюда получить имя запущенной процедуры. Здесь есть имя приложения, но это не интересно.

object_name(@@procid)
Это название той процедуры которая выполняется, а не той что была запущена пользователем.

>VAT
Чтоб процедура сама проверяла, есть ли у пользователя право ее запускать и какие вействия с ней он может выполнять.

Там более хитрая ситуация, например процедура удаления должна отдельно проверять право на удаление своих записей и чужих, это два разных права.
Кроме того если процедура вызывается напрямую - это одни права, из другой процедуры - другие.
Вообщем нужно знать, какую именно процедуру запустил пользователь.

Мне перед запуском хранимой процедуры нужно проверить, имеет ли право пользователь запускать ее. Если процедура1 запускает процедуру2, то в процедуре2 нужно проверять на право запуска процедуры1. Если просто запустить процедуру2, тогда надо уже проверять другие права.

>MiCe
Не совсем, как узнать чей сейчас сеанс работы - это одно. Мне надо знать, какая хранимая процедура запущена пользователем.

>MiCe
Я уже писал на четыре мессаги выше, права проверять.

Есть много хранимых процедур, причем одни и те же процедуры могут запускаться либо пользователем, либо другой процедурой. Мне нужно знать, запущена ли процедура пользователем, либо процедурой, причем мне надо знать какой. Мне просто надо различать эти ситуации.

>А определить перед запуском процедуры права нельзя?
>Так в нормальных приложениях делается
А причем тут приложение, процедуру не обязательно из приложения запускать.

>В общем Ваш вопрос выглядит так:
>Как мне защитить свою процедуру от вызова из других процедур
Ну примерно так, разрешить запуск процедуры с набором параметров 1 из одной конкретной процедуры, и с наборором параметров 2 из других процедур, или саму по себе.
Пример. Процедура П1 добавляет запись в таблицу услуг. Один из передаваемых параметров - счет. Но его можно передавать только из одной конкретной процедуры П2 (ибо та его сама подставит по своим правилам). Пользователь имеет право запускать только П2. Если он запустит П1 напрямую, ему нужно отказать в доступе.
Если в П1 поставить проверку на конкретного пользователя, чей сейчас сеанс, то это проверка сработает и в случае запуска П2, но она не должна работать в том случае.
Запретить вызов П1 правали самого MSSQL нельзя, ибо на самом деле там более сложные ситуации.

>Разделите на интерфейсные процедуры, предназначенные
>для запуска пользователем и раздайте на них права и
>системные процедуры (dbo only).
Вообщем так и поступили, вернее объявили некоторые процедуры системными, а для пользователя сделали специальные прозрачные процедуры, которые только проверяют права и запускают системные, благо это только для некоторых процедур понадобилось.

>Проверку на валидность передаваемых параметров должна делать П2
Правильно, П2 и проверяет. Но и П1 должна иметь свою проверку на право ее выполнять, причем может быть право запускать П2, но не запускать П1. Если смотреть по праву текущего пользователя, то П1 не знает, запустили ее напрямую или через конкретную процедуру.

>Под приложением я имел ввиду целиком систему.
Вообще клинт - это одно, а сервер - другое. И сервер не должен зависеть от клиента. Сервер должен все уметь делать сам. У меня из квери аналайзера можно отработать любую функцию программы. Клиент - это просто удоблная для пользователя оболочка.

>И Makc правильно отметил. А что у вас возможно "сбоку" в базу
>залезть? Вот кто пытается это сделать и пускай отвечает за это.
Ха, если что-то случиться, виноват будет в первую очередь админ, за то что не доглядел, дал такую возможность. Сервер нужно защитить. Вообще все эти защиты скорее всего реально не понадобятся, скорее всего без клиента никто работать не будет. Но это дырь в программе, которую могут использовать. И будет очень неприятно если кто-то до этого додумается.