SQL Server NOLOCK 为授权而运​​行的查询

Question

在我们的应用程序登录过程中，运行了几个查询，都是围绕验证登录的。 在评估它们时，我注意到其中一个查询是在没有 NOLOCK 提示的情况下运行的。

脏读似乎没有任何特别的危险，因为数据几乎不会改变。

从某人一次又一次尝试登录失败的尝试 DOS 类型攻击的角度来看，我认为缺乏 NOLOCK 会降低我们的失败阈值。

我相信这是 DOS 攻击极不可能的结果（我认为 Web 服务器会首先发生），但添加 NOLOCK 应该会使它从不可能变成不可能。

那么，我到底是太过分了，还是太过分了呢？

Answer 1

对于针对服务器的 DoS 尝试，您最不需要担心的是是否具有 NOLOCK。

我不会担心的。

如果，正如你所说，数据很少改变，那么在那里使用 NOLOCK 可能不会有什么坏处。

Answer 2

是的，你太琐碎了。

如果您遭受 DOS 攻击，那么 SQL 授权调用上的 NOLOCK 是您最不用担心的。 实施一些 DOS 检测、故障跟踪+限制，甚至一些不会影响用户但会减慢攻击速度的计划暂停...

Answer 3

如果您频繁调用该查询，尤其是在更广泛的事务中，NOLOCK 可能会提高您的性能。

考虑脏读的性质 - 可能发生脏读的时间窗口是否真正至关重要？ 例如，您可以在授权角色中添加或删除某人。

在添加场景中，脏读尝试会失败。 （访问被拒绝）

在删除场景中，脏读将在该尝试中起作用。 （授予访问权限）

如果数据通过手动操作（例如人机交互）更改 - 它们的“延迟”裕度通常比您的数据库高得多/不确定！

Answer 4

这也是一种非常罕见的情况，但仍然是：就在有人停用用户以阻止他们登录的那一刻，NOLOCK 让他们进入。可能是需要立即锁定的流氓用户/黑客/员工？

您必须担心这种特殊情况才能放弃 NOLOCK 的性能优势。

Answer 5

通过查看表的权限，您可以更好地保护表。 像这样的表不应允许任何直接访问，所有访问都应来自存储过程以及对其设置的权限。