DENY & stored procedure / Microsoft SQL Server

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / DENY & stored procedure

10 сообщений из 10, страница 1 из 1

DENY & stored procedure

#32057958

jimmers

Участник

Откуда: Санкт-Петербург - New York City

Сообщения: 4 885

Рейтинг: 0 / 0

Тут обнаружил сообщение в microsoft.public.sqlserver.security:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.

I have three objects with the same owner
 1  table and  2  SPs
both the SPs do a select * from the table -
one directly and another dynamically

I give exec permission to both SPs to an user and deny 
select on the table 

Now when the user executes the dynamic SP, the ownership 
chain seems to be broken . why is this so?
eg:

CREATE TABLE
OnlyNumbers
(
a int
)
go

insert into OnlyNumbers values ( 1 )
insert into OnlyNumbers values ( 2 )
insert into OnlyNumbers values ( 3 )
go

go
SELECT * from OnlyNumbers

go

CREATE PROC
direct
as
SELECT * from OnlyNumbers
go

CREATE PROC
dynamicProc
as
EXEC('SELECT * from OnlyNumbers')

go
GRANT EXECUTE 
ON direct
TO <some user>

go
GRANT EXECUTE 
ON dynamicProc
TO <some user>

go

DENY SELECT
ON OnlyNumbers
to <some user>

Thanks
Sarathy

Пользователь <some user> может успешно вызывать
direct...
Я всегда считал, что DENY имеет приоритет над GRANT.
А тут выходит, что нет... Или это баг?

...

Рейтинг:

0 / 0

14.10.2002, 14:03:21

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057960

AVL

Участник

Откуда: МСК

Сообщения: 242

Рейтинг: 0 / 0

я наверное не прав буду, если скажу что процедура отработала в соответствии с правами своего создателя dbo

...

Рейтинг:

0 / 0

14.10.2002, 14:06:41

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057964

jimmers

Участник

Откуда: Санкт-Петербург - New York City

Сообщения: 4 885

Рейтинг: 0 / 0

Это понятно, речь о том, что <some user>'у явно запрещен SELECT из таблицы...

...

Рейтинг:

0 / 0

14.10.2002, 14:08:12

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057970

Гнездин Петр

Участник

Откуда: Москва

Сообщения: 349

Рейтинг: 0 / 0

Все работает совершенно правильно. У пользователя есть права на процедуру direct. Текст запроса не может быть им призвольно изменен. Соотв. подразумевается, что разработчик отвечает за то, что пользователь не увидит ничего "лишнего". Это в точности соответствует концепции назначения прав доступа через View (когда запрещен select из таблицы, но у польз. есть доступ к View, который "отсекает" некоторые строки или столбцы). Совсем другое дело, когда в процедуре есть динамически строящийся запрос (выполняемый через EXEC). В этом случае злонамеренный юзер может изменить текст запроса через параметры процедуры (потенциально... для каждого конкретного случая SQL не будет пытаться проверять), поэтому права проверяются на этапе выполнения процедуры. Как следствие, для динамических запросов всегда приходится давать права на SELECT из таблицы...

...

Рейтинг:

0 / 0

14.10.2002, 14:17:27

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057974

AVL

Участник

Откуда: МСК

Сообщения: 242

Рейтинг: 0 / 0

Код: plaintext

<some user>'у явно запрещен SELECT из таблицы...

но не запрещен для dbo

...

Рейтинг:

0 / 0

14.10.2002, 14:19:12

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057990

jimmers

Участник

Откуда: Санкт-Петербург - New York City

Сообщения: 4 885

Рейтинг: 0 / 0

Спасибо, все ясно, что к чему.

Ну а вот, к примеру, необходимо запретить <some user>'у выборки из таблицы OnlyNumbers - придется для каждой процедуры типа direct делать REVOKE/DENY EXECUTE?

...

Рейтинг:

0 / 0

14.10.2002, 14:32:44

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057992

AVL

Участник

Откуда: МСК

Сообщения: 242

Рейтинг: 0 / 0

ну да :)

...

Рейтинг:

0 / 0

14.10.2002, 14:36:37

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057994

jimmers

Участник

Откуда: Санкт-Петербург - New York City

Сообщения: 4 885

Рейтинг: 0 / 0

Мда... Мягко говоря, неудобно.

...

Рейтинг:

0 / 0

14.10.2002, 14:39:48

| Ответить | Цитировать | Написать

DENY & stored procedure

#32057995

Glory

Участник

Сообщения: 105 723

Рейтинг: 0 / 0

У нас для того, чтобы не "возиться" с каждым пользователем для процедуры создается пользовательская роль, котораю имеет только право EXEC на "свою" процедуру. Тогда вместо REVOKE/DENY можно просто добавлять/удалять пользователя из роли.
Ну а для более удобного менеджирования всего этого написан небольшой модуль.

...

Рейтинг:

0 / 0

14.10.2002, 14:43:23

| Ответить | Цитировать | Написать

DENY & stored procedure

#32058060

akuz

Участник

Откуда: инос - хуесос

Сообщения: 6 844

Рейтинг: 0 / 0

Ну, если неудобно, то используйте dynamic. :)

Или проверку в теле процедуры типа:

Код: plaintext

IF PERMISSIONS(OBJECT_ID('OnlyNumbers')) &  1  <>  1 
RAISERROR(...)

Помоему удобно.

Но вообще лучше пермишины на таблицы не раздавать, а проверять принадежность к роли.

Код: plaintext

IF IS_MEMBER('user') <>  1 
RAISERROR(...)

И распределять пользователей по ролям.

...

Рейтинг:

0 / 0

14.10.2002, 16:37:18

| Ответить | Цитировать | Написать

10 сообщений из 10, страница 1 из 1

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / DENY & stored procedure

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=46&msg=32057964&tid=1819624]:	0ms
get settings:	8ms
get forum list:	19ms
check forum access:	4ms
check topic access:	4ms
track hit:	45ms
get topic data:	13ms
get forum data:	3ms
get page messages:	59ms
get tp. blocked users:	1ms
others:	239ms

total:	395ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы