Sql Server中限定用户只能访问指定的储存过程
有一个客运售票系统,除了自己车站售票外,还允许外面单位通过internet或专线等连接进行代理售票,为此,我们新建了几个必要的储存过程,作为接口,供对方开发代售软件使用,并新建一个登录名,供对方连接到数据库
现在问题出来了,我们提供的储存过程都比较复杂(业务本身复杂造成),里面需要访问大量表、储存过程、函数等,我们只希望对方使用这几个储存过程,而不希望用户访问表等其他信息,一是出于保密(不希望对方看到不该看的数据),二是出于安全,万一对方不小心来个DELETE,那就欲哭无泪了,三是防止对方为简化查询,直接从表提取数据(表中数据量大,有索引,对方可能忽略),从而导致服务器效率低下。
为简化叙述,我们假设储存过程为myProc1,登录名为myUser,myProc1的内容为 select * from table1。
设定myUser只能执行myProc,用myUser登录,执行储存过程myProc1:EXEC [dbo].[myProc1],被服务器拒绝,提示没有查询table1的权限,如果赋于了查询权限,前面提到的问题就无法解决了,如何只允许myUser执行myProc1而不允许其访问table1呢,经过试验,我采用链接服务器较好地解决了,方法如下:
1、建立一个链接服务器,注意,是自己和自己链接,为安全起见,我修改了sql server默认端口,新端口号为4000,因此,链接服务器名称为“服务器名,4000”,登录名为sa,注意,登录名为sa或者其他能访问相关数据的帐号
2、新建一个储存过程,假如为myProc2,并允许myUser执行该储存过程
3、myProc2的内容为 exec [服务器名,4000].[数据库名].dbo.myProc1
现在,将myProc2作为对外接口就行了,也就是用户可以执行myProc2,如EXEC [dbo].[myProc2],我们来看看执行过程,用户用myUser登录后,执行myProc2,myProc2再调用链接服务器上 myProc1,因为使用了链接服务器,因此,登录链接服务器的帐号变成了sa,从而间接起到防止用户查询其他表的目的。