我们能把使用 xp_cmdshell 的风险降到最低吗？

好吧，您不能明确地向最终用户授予它的执行权限（甚至拒绝它），并且只能在使用 EXECUTE AS 的存储过程中启用它，并且某些登录名确实具有执行权限。然后将仅对该存储过程的执行权限授予需要运行该命令的用户。

首先，确保xp_cmdshell已为实例启用：

EXEC sp_configure 'show advanced options', 1;
GO
RECONFIGURE WITH OVERRIDE;
GO
EXEC sp_configure 'xp_cmdshell', 1;
GO
RECONFIGURE WITH OVERRIDE;
GO
EXEC sp_configure 'show advanced options', 0;
GO
RECONFIGURE WITH OVERRIDE;

现在取决于操作系统和 SQL Server 服务帐户，您可能需要设置代理帐户（为此，感谢 UAC，您可能需要提升并以管理员身份启动 SSMS）：

EXEC master..sp_xp_cmdshell_proxy_account 'Domain\User', 'Password';

然后在您的数据库中创建一个包装器，它可以执行您需要做的任何事情（这只是一个非常通用的包装器的示例，它并不能真正保护您免受任何伤害；仅使用它来演示）：

USE yourdb;
GO
CREATE PROCEDURE dbo.uxp_cmdshell
  @cmd VARCHAR(2048)
WITH EXECUTE AS OWNER
AS
BEGIN
  EXEC master.dbo.xp_cmdshell @cmd;
END
GO

现在授予您的用户或角色执行该过程的权限：

GRANT EXECUTE ON dbo.uxp_cmdshell TO [your_user_or_role!];

现在，当your_user登录并尝试执行任意调用时xp_cmdshell：

EXEC master.dbo.xp_cmdshell 'dir c:\';

他们将获得：

消息 229，级别 14，状态 5，过程 xp_cmdshell，第 1 行
对象“xp_cmdshell”、数据库“mssqlsystemresource”、模式“sys”的 EXECUTE 权限被拒绝。

但是，如果他们将相同的命令传递给您的新过程：

EXEC dbo.uxp_cmdshell 'dir c:\';

它可以正常工作（假设您的代理帐户设置正确和/或 SQL Server 服务帐户具有足够的权限）。

这可能需要一些工作，但实际上这允许您准确控制用户可以使用xp_cmdshell.

您还可以使用sp_xp_cmdshell_proxy_account设置代理帐户，以允许非管理员使用 xp_cmdshell。这将允许您设置权限较低的 Windows 帐户，而不是 xp_cmdshell 始终使用 SQL Server 服务帐户。这类似于为 SQL 代理作业设置代理帐户。