Theo mặc định, trong SQL Server, [public]vai trò có EXECUTEquyền trên sp_executesql.
Tuy nhiên, tôi đã thừa hưởng một máy chủ cơ sở dữ liệu trong đó DBA trước đó đã thu hồi EXECUTEquyền sp_executesql.
Như một giải pháp tạm thời, tôi đã được cấp EXECUTEquyền sp_executesqltrên cơ sở khi cần thiết (thông qua vai trò trong cơ sở dữ liệu chính). Nhưng đây là bắt đầu là một nỗi đau duy trì.
Nếu tôi cấp EXECUTElại cho công chúng, có bất kỳ hậu quả nào tôi cần phải biết không?
Câu trả lời:
Không ai. sp_executesqlthực thi SQL, trong chính xác bối cảnh và đặc quyền giống như người gọi ban đầu sẽ thực thi cùng một SQL. Có rất nhiều, rất nhiều trường hợp khi SQL động là không thể tránh khỏi.
sp_executesql. Giả sử một yêu cầu SQL động sau đó vô hiệu hóa sp_executesqlthực sự có thể làm tăng rủi ro vì ít nhất điều đó cho phép bạn tham số hóa các truy vấn (không giống như EXEC)
sp_executesqlkhông phải là giảm thiểu thích hợp. Phần lớn các lỗi tiêm SQL xảy ra trong máy khách khi câu lệnh SQL được xây dựng 'bằng tay' bằng cách ghép các đoạn SQL với các biến đầu vào và sau đó thực thi 'như hiện tại'. Đối với tất cả những trường hợp sp_executesqlbị vô hiệu hóa không giúp được gì.