Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Execute permission без select permission  [new]
LelikB
Member

Откуда: СПб
Сообщений: 64
Есть некое web-приложение, выполняющееся под пользователем webuser и обращающееся к базе данных только через хранимые процедуры. На соответствующие ХП пользователю webuser даны execute привилегии. Все работает замечательно до тех пор, пока не возникает необходимость выполнять select из другой базы данных или из другой схемы, т.е. пока не разрывается цепочка владения. Вариантов решения этой проблемы несколько: включить DB_CHAINING на базах данных, использовать переключение контекста execute as или просто дать нужные права пользователю webuser на соответствующие таблицы.
Есть желание не давать пользователю прав на таблицы и оставить только права на execute ХП.
Интересует best practice, кто как поступает в подобных ситуациях?
17 май 12, 13:05    [12569283]     Ответить | Цитировать Сообщить модератору
 Re: Execute permission без select permission  [new]
objects owner
Guest
LelikB
Есть некое web-приложение, выполняющееся под пользователем webuser и обращающееся к базе данных только через хранимые процедуры. На соответствующие ХП пользователю webuser даны execute привилегии. Все работает замечательно до тех пор, пока не возникает необходимость выполнять select из другой базы данных или из другой схемы, т.е. пока не разрывается цепочка владения. Вариантов решения этой проблемы несколько: включить DB_CHAINING на базах данных, использовать переключение контекста execute as или просто дать нужные права пользователю webuser на соответствующие таблицы.
Есть желание не давать пользователю прав на таблицы и оставить только права на execute ХП.
Интересует best practice, кто как поступает в подобных ситуациях?

другая база - DB_CHAINING, другая схема - общий владелец схемы.
17 май 12, 13:28    [12569462]     Ответить | Цитировать Сообщить модератору
 Re: Execute permission без select permission  [new]
invm
Member

Откуда: Москва
Сообщений: 9825
LelikB
Есть желание не давать пользователю прав на таблицы и оставить только права на execute ХП.
Если у другой схемы тот же владелец, и объекту в ней явно не меняли владельца, то цепочка владения не нарушается. Для других БД включить DB_CHAINING.
17 май 12, 13:29    [12569478]     Ответить | Цитировать Сообщить модератору
 Re: Execute permission без select permission  [new]
LelikB
Member

Откуда: СПб
Сообщений: 64
invm, objects owner , спасибо за рекомендации!
18 май 12, 08:59    [12574264]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить