https://stackoverflow.com/questions/49551
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我仍然想得到我的头周围的皇宫和访问SQL数据库。
我总是教导说,你应该只有执行权限的存储程序数据。
你永远不应该有选择/insert/update/delete。
(这是因为业绩和安全)
要获得数据的皇宫显然你需要选择的权限。我知道你可以使用存储处与皇宫,但由于我不能做同点是什么?
我错过了什么吗??
解决方案
1)我们的程序员,不DBA法西斯。如果您要求的国家数据库必须锁定了100%的皇宫不是给你的。我不是一个DBA,因此我认为,大部分的性能/安全炒作的就是这样。皇宫是我。
2)你可以做与皇宫.
@菲利普:皇宫会自动将评价纳入查询的参数,所以它提供了一些sql注保护。但是,仍然必须密切评估需求来确定有多少安全需要以及在什么水平。皇宫使得处理的数据库容易得多,但它使得更容易把安全设计上回燃烧器,这是一件坏事。
其他提示
好了,出于安全原因你不应该输入任何用户输入的数据进行查询。如果你坚持这条规则,我看不到问题的具有选择的权限。
是否所有你的数据库的访问是"后面的"存储程序取决于应用程序的需要和公司。我已经实施的系统使用的意见,以获得的所有数据和存储程序的所有更新。这就允许为集中的安全和数据库的逻辑,同时仍然让前端开发人员使用SQL queries在适当情况下。
像许多其他事情在方案编制--这取决于需要为您的项目。
LinqToSql不支持存储程序。斯科特区拥有一个职位:
我非常同意杰夫*阿特伍德的"存储程序与内联SQL/皇宫"问题: 谁需要存储程序,不管怎么说?.
我很困惑为什么你甚至想要执行一个加入,如果你在SPROCs-对-一切人群;你不是应该包裹,加入到另一个SPROC?
作为会说,皇宫不是设计一种数据库使用你说;它的目的是给我们的静态型的内联SQL。你可以,但是,仍然控制通过用户的权限如果使用皇宫SQL。
