【发布时间】:2011-05-04 03:11:51
【问题描述】:
我有一个具有应用程序角色的数据库。角色成员都属于 Active Directory 中的一个组。我没有授予角色从表中选择的权限,而是授予了角色对它需要调用的所有存储过程的执行权限。
这很好用,除了我的一个存储过程正在构建一些动态 SQL 并调用 sp_executesql。
动态 sql 看起来像这样:
SET @SQL = N'
SELECT *
FROM dbo.uvView1
INNER JOIN uvView2 ON uvView1.Id = uvView2.Id'
EXEC sp_executesql @SQL
此角色的用户未能调用存储过程。它给出了以下错误,这是我想的一种预期:
对象“uvView1”、数据库“Foobar”、模式“dbo”的 SELECT 权限被拒绝。
有没有一种方法可以让我的用户成功执行此过程,而无需授予动态 SQL 中所有视图的角色权限?
【问题讨论】:
-
用户正在访问视图,对吗?我不认为安全关心他们如何访问它。
-
这是唯一一个失败的过程,它没有在过程上执行权限失败......它特别告诉我它可以从视图中选择......所以我猜它确实以某种方式很重要。
-
至于为什么会发生这种情况,我发现Dynamic SQL and Ownership Chaining in SQL Server @ mssqltips.com很有用:“当 sp_executesql 或 EXECUTE 语句执行一个字符串时,该字符串将作为它自己的独立批处理执行。... EXECUTE 字符串中引用的安全对象需要权限"
标签: sql sql-server stored-procedures database-security