Tôi muốn hiểu tại sao các nhóm an ninh mạng nói chung (nhiều hơn một tổ chức mà tôi đã xử lý) bị đặt ra chống lại việc cấp quyền BULK INSERT
(ví dụ TSQL) cho các ứng dụng và lập trình viên cơ sở dữ liệu? Tôi không thể tin vào lý do "lấp đầy đĩa lạm dụng", trừ khi tôi thiếu một cái gì đó, vì kết quả cuối cùng không khác gì một ứng dụng làm điều gì đó như:
for (long i = 0; i < LONG_MAX; ++i)
executeSQL("INSERT INTO table VALUES(...)");
và INSERT
là một lệnh DML phổ biến mà bất kỳ ai có quyền ghi cơ bản đều có thể thực thi.
Vì lợi ích của ứng dụng, BULK INSERT
hiệu quả hơn, nhanh hơn và giải phóng người lập trình về nhu cầu phân tích các tệp bên ngoài SQL.
Chỉnh sửa: Ban đầu tôi đã hỏi câu hỏi này trên trang web bảo mật thông tin vì một lý do - đó không phải là DBA chống lại việc sử dụng BULK INSERT, đó là "Đảm bảo thông tin" (gọi tắt là IA - những người bảo mật không gian mạng) đang buộc vấn đề này. Tôi sẽ để câu hỏi này hầm trong một hoặc hai ngày nữa, nhưng nếu hoạt động hàng loạt thực sự bỏ qua các ràng buộc hoặc kích hoạt, tôi có thể thấy đó là một vấn đề.