使用“执行 sp_Executesql”时的权限

Question

我有一个数据库，其中所有访问都由存储过程控制。 DBA 希望避免向用户提供对基础表的直接读/写访问权限，这一点我可以理解。因此，所有数据的更新和选择都是通过存储过程完成的。基本上，他创建了一个角色，该角色对数据库中的所有存储过程具有 EXECUTE 权限，并向用户授予该角色。

问题是存储过程之一动态构建 SQl 查询并通过“执行 sp_Executesql”执行它。无需详细说明，查询是动态构建的，因为它会根据许多用户输入参数而发生显着变化。有问题的存储过程只是一个 SELECT sql 语句，但是我发现仅授予存储过程 EXECUTE 权限是不够的。使用“执行 sp_Executesql”的存储过程中引用的基础表需要被授予“datareader”访问权限，否则存储过程将失败。

关于如何纠正这个问题有什么想法吗？我确实想将对表的访问限制为仅存储过程，但我需要找到一种方法来解决使用“执行 sp_Executesq”的存储过程。谢谢。

Answer 1

在包装过程中，您可以使用 EXECUTE AS OWNER 或 EXECUTE AS SomeuserWithNoLogin

这将更改包含 sp_executesql 的存储过程期间的登录上下文。

• 如果您使用 OWNER，它将起作用，因为您已经在使用所有权链。
• 如果您的 DBA（好人！）不希望您以 dbo 身份运行，那么请设置一个具有完全读取权限但没有权限的用户。 EXECUTE AS 需要一个条目 sys.database_principals

如下所示：

CREATE USER SomeuserWithNoLogin WITH WITHOUT LOGIN
EXEC sp_addrolemember 'db_datareader', 'SomeuserWithNoLogin'

有关详细信息，请参阅 MSDN 上的 EXECUTE AS 子句 和 创建过程

Answer 2

真正的问题是 sp_Executesql 位于 master 数据库中，而不一定是您工作的数据库中。您的 DBA 必须向调用过程授予执行 sp_Executesql 权限。任何有权调用该过程的人都可以运行 sp_Executesql。