Início / dba / Perguntas / 24734
Accepted
Elias
Asked: 2012-09-23 06:22:05 +0800 CST

Restringir a atualização em determinadas colunas. Permitir apenas que o procedimento armazenado atualize essas colunas

  • 772

Tenho colunas de preços sensíveis que gostaria de atualizar apenas por meio de um procedimento armazenado. Eu gostaria que todos os códigos ou tentativas manuais de alterar valores nessas colunas de preço falhem se não estiver usando os procedimentos armazenados projetados para atualizá-lo.

Estou pensando em implementar isso usando gatilhos e uma tabela de token. A ideia que estou considerando é ter uma tabela de tokens. os procedimentos armazenados terão que primeiro inserir valores na tabela de tokens. Em seguida, atualize as colunas de preço. O gatilho de atualização verificará se o token existe na tabela de tokens para a linha atualizada. Se encontrado, continuaria. se o token não for encontrado, ele lançará uma exceção e fará com que a transação de atualização falhe.

Existe uma maneira boa/melhor de implementar essa restrição?

sql-server sql-server-2012

3 respostas

  1. Best Answer

    O SQL Server permite permissões em nível de coluna. Apenas por exemplo:

    GRANT UPDATE ON dbo.Person (FirstName, LastName) TO SampleRole;
DENY UPDATE ON dbo.Person (Age, Salary) TO SampleRole;
    • 22 
  2. -- prevent your web app user from updating that column directly:

DENY UPDATE ON dbo.YourTable(Price) TO WebApplicationUserName;
GO

-- create a stored procedure while logged in as sysadmin:

CREATE PROCEDURE dbo.UpdateYourTable
  @ProductID INT,
  @Price DECIMAL(10,2)
WITH EXECUTE AS OWNER
AS
BEGIN
  SET NOCOUNT ON;

  UPDATE dbo.YourTable 
    SET Price = @Price
    WHERE ProductID = @ProductID;
END
GO

-- grant explicit access only to that stored procedure to the web app user:

GRANT EXEC ON dbo.UpdateYourTable TO WebApplicationUserName;
    • 7

  3. Se todos os seus usuários tiverem o mesmo login (ai, BTW), aqui está outra opção

    • revogue os direitos de atualização desse usuário (ou função, se você estiver fazendo dessa maneira).
    • Altere o proc armazenado com a cláusula "execute as owner" nele
    • então o proc armazenado será executado com os direitos do usuário que possui o esquema no qual ele reside (se estiver em dbo, você já estará coberto).

    Os usuários regulares do aplicativo não terão direitos de atualização para essa tabela, portanto, não poderão atualizá-la de outra maneira.

    • 2

relate perguntas