在共享 SQL Server 上以 dbo 作为所有者创建表和查询？

Question

我正在开发一个数据库，该数据库最终将驻留在主机（托管提供商）上的共享 SQL Server 2008 数据库上。我注意到所有的表和查询都属于 dbo。我想知道在共享主机上这是否是一个安全问题。以及分配数据库对象所有权的最佳实践是什么。我应该将数据库对象的所有权转移给共享托管环境中数据库的管理员用户吗？

谢谢

Answer 1

dbo 架构是管理员或数据库所有者架构。它也是创建表时的默认架构，除非采取步骤对其进行更改。

即使在托管环境中，您也可以控制数据库内的安全性。您必须关注安全策略，并根据该策略授予、撤销或拒绝对数据库中对象的权限。单独避免使用 dbo 模式并不能提高安全性。

Answer 2

使用 dbo 时的最佳实践 使用

dbo 创建对象/表时，这意味着这些对象的别名的登录名必须具有 db_owner 角色，进而意味着它可以在该数据库中“执行任何操作”。访问该数据库的用户通常主要需要 CRUD。即表中的数据和执行 SP 应该是该帐户应该能够执行的所有操作。尽管当 db_owner 时它可以做任何在我看来是安全缺陷的事情。

应该有一个用于应用程序访问的登录名 (svcact_app1)，它是一个服务帐户（非交互式），以及用于 DDL 等的 Windows 登录名，这些登录名是 db_owner 的 - 因此默认为 dbo。每个对象都可以由 dbo 拥有，但授权应授予关联用户以进行 svcact_app1 登录。

这提供了分离，应用程序连接只能修改数据并执行授予它的 SP，而不能执行其他任何操作。如果您不这样做，并且攻击者可以成功启动 SQL 注入，则攻击可能会删除故事、修改 SP 或任何其他内容。