主页 / dba / 问题 / 196385
Accepted
jyao
Asked: 2018-01-27 15:52:51 +0800 CST

SQL Server 权限检查何时完成?

  • 772

当用户要执行一个复杂的存储过程时,其中有相当多的表/视图甚至另一个存储过程。

我的问题是:

SQL Server在生成执行计划之前,是否检查用户的权限?

否则,如果用户首先没有EXEC对该存储过程的权限,则生成执行计划本身就是一种间接成本。

如果是,在我看来,SQL Server 引擎没有任何消耗品,即没有安全标识符(如存储过程本身、存储过程中的表等)SQL Server 引擎可以用来检查用户权限. 至少在解析完成之前,不会生成所有这些安全标识符。

那么从执行存储过程的生命周期角度来看,SQL Server 权限检查何时开始?

sql-server permissions

1 个回答

  1. Best Answer

    这在此处详细说明:

    https://learn.microsoft.com/en-us/sql/relational-databases/security/permissions-database-engine

    但基本的答案是存储过程已经缓存并重用了查询计划,当从存储过程访问存储过程所有者拥有的对象时,权限检查不是必需的。如果过程和要访问的对象之间存在有效的所有权链,则在启动存储过程之前只检查 EXECUTE 权限。跳过其他权限检查。

    您能否提出一个关于查询(或 SP)在提交后如何处理的步骤列表?

    这里要记住的主要事情是,批处理中的所有查询在任何查询开始执行之前都会被解析和编译。在执行期间检查权限。甚至可以在查询中以从未实际检查该表的权限的方式引用表。

    如果您观看这样的 XE 会话:

    CREATE EVENT SESSION [compiles] ON SERVER 
ADD EVENT sqlserver.query_post_compilation_showplan(
    ACTION(sqlserver.sql_text)
    WHERE ([sqlserver].[client_app_name]=N'Microsoft SQL Server Management Studio - Query'))
WITH (MAX_MEMORY=4096 KB,EVENT_RETENTION_MODE=ALLOW_SINGLE_EVENT_LOSS,MAX_DISPATCH_LATENCY=1 SECONDS)

    并做类似的事情

    use tempdb

create table t(id int)
create table w(id int)

create user fred without login

grant select on w to fred

    然后:

    dbcc freeproccache

go
execute as user='fred'

go
select * from w
select * from t 
go

select 1 
where 1 = case when 1=1 then 1 else (select count(*) from t) end

revert

    您会看到第一批中的查询计划都已编译,然后第一个查询运行,然后第二个查询失败。第三个查询在没有权限检查的情况下成功。

    • 5

相关问题