主页 / dba / 问题 / 195798
Accepted
Steve Salowitz
Asked: 2018-01-20 07:18:47 +0800 CST

SQL Server 临时表安全

  • 772

我参与了一个将旧的 AS400 系统转换为 SQL Server 的项目。该服务器用于我们的工资单处理。工资单流程的一部分是将双周工资与我们从事的每项工作的百分比分开。为此,在 AS400 过程中,将一个 csv 文件从 P&B 管理员加载到只有管理员有权访问的数据访问区域中的服务器。我需要在 SQL 服务器环境中复制它。我计划使用 SQLCMD 将本地文件导入临时表。我知道任何人在临时表使用时查询数据的可能性很小,但是无论如何只授予执行 SQLCMD 脚本的用户访问权限吗?

security sqlcmd

2 个回答

  1. Best Answer

    #temporary 表仅在创建它的会话中可见。因此,即使是同一用户在另一个会话中也无法看到它。如果您在 SQLCMD 中加载一个临时表,它将对该 SQLCMD 实例可见。因此,后续命令可以将数据加载到永久表中,或者在其上打开游标并为每一行调用存储过程,等等。

    或者,您可以为用户提供私有模式并将数据加载到那里的永久表中。那么其他用户(数据库所有者或其他特权用户除外)将无法读取它。然后用户可以稍后将数据移动到另一个模式中。

    • 5

  2. 无论如何只授予 [#temp table] 访问权限给执行 SQLCMD 脚本的用户?

    不幸的是,如果您的威胁模型包括数据库管理员,答案是否定的。

    您对该威胁模型的唯一有效选择是加密数据客户端。对于 SQLCMD,最好和最简单的选择是AlwaysEncrypted ,仅使用Microsoft® Command Line Utilities 13.1 for SQL Server或更高版本。

    请参阅Paul White 关于查看另一个会话的临时表的文章,归结为

    找到#temp表

    SELECT  *
FROM    tempdb.sys.tables T
WHERE   T.name LIKE N'#Private[_]%';

    查找页面

    SELECT  T.name,
        T.[object_id],
        AU.type_desc,
        AU.first_page,
        AU.data_pages,
        P.[rows]
FROM    tempdb.sys.tables T
JOIN    tempdb.sys.partitions P
        ON  P.[object_id] = T.[object_id]
JOIN    tempdb.sys.system_internals_allocation_units AU
        ON  (AU.type_desc = N'IN_ROW_DATA' AND AU.container_id = P.partition_id)
        OR  (AU.type_desc = N'ROW_OVERFLOW_DATA' AND AU.container_id = P.partition_id)
        OR  (AU.type_desc = N'LOB_DATA' AND AU.container_id = P.hobt_id)
WHERE   T.name LIKE N'#Private%';

    阅读所谓的私人数据

    DBCC TRACEON (3604);
DBCC PAGE (tempdb, 1, 173, 3) WITH TABLERESULTS;

    然后使用 m_nextPage 字段读取下一页(它是 file_id : page_id)十进制格式。

    • 2

相关问题