由于客户端无法访问 SQL CLR 程序集,因此我们只需要担心我们自己的错误。小心使用,“不安全”可以是相当安全的。你怎么看?
【问题讨论】:
标签: sql .net sql-server clr sqlclr
“不安全”并不总是与谁在执行代码有关,而是与正在执行什么代码和/或如何编码有关。 UNSAFE 程序集允许代码,即使在理想/正确使用中,也可能破坏 SQL Server 的稳定性,或允许安全漏洞,或允许奇怪/意外行为。例如,使用TimeZoneInfo 转换时区之间的时间需要不安全,即使它应该是一个稍微简单的计算。问题是在该代码库的某个地方存在导致内存泄漏的东西。尝试批量更新日期列的人已经经历过这种情况。 UNSAFE 也用于可能安全但未经 Microsoft 验证的代码,因此无法保证。就使用不受支持的 .NET Framework 库而言,这些库不仅不能保证按预期工作(或者没有内存泄漏或线程安全),而且甚至不能保证它们可以在任何未来的 .NET Framework 更新中工作(例如:ServiceModel 在 .NET Framework v 4.0 中成为混合模式,因此从 SQL Server 2012 开始,任何将 ServiceModel 导入 SQL Server 2005、2008 或 2008 R2 的人都无法再将其导入,因此必须如果他们想升级 SQL Server,重写一堆代码。
但回到问题,当你控制代码时,它有多不安全?您可能不允许任何安全漏洞,但由于共享内存(即静态变量)/同步问题确实难以重现和调试,您肯定会陷入内存泄漏和“奇怪”行为的情况。例如,以下是关于 DBA.StackExchange 的一个问题,该问题仅在系统开始更频繁地调用 SQLCLR 函数时才开始发生。问题是由于使用静态变量来存储声明,然后多个会话覆盖值并在从该变量中读取时获取意外值:
SQLCLR assembly throws error when multiple queries run simultaneously
可以“安全地”使用UNSAFE 程序集吗?当然。如果您使用静态变量进行缓存,并在它为空时重新加载,那应该没问题。或者,可能加载不受支持的 .NET Framework 库(几乎总是必须标记为 UNSAFE),但只在其中使用“安全”方法(仅仅因为程序集的代码是“不安全”并不意味着永远会执行“不安全”的代码)。缺点是:1) 你不知道所有这些库在做什么,即使你确实在reference.microsoft.com 上查看了其中的一些; 2) 你仍然面临这样的可能性,即库会在某个时候更新为混合模式,然后你必须重写所有内容。
【讨论】: