对于 Web 应用程序数据库,从安全角度来看,什么是与仅 sp 解决方案相反的论据,其中应用程序数据库帐户没有表和 View 的权限,只能执行sps?
如果有人拦截应用程序数据库帐户,则受到攻击的表面积会比表和 View 未暴露时要小得多。非 sp 解决方案会提供(或不会)哪些安全优势?我看到使用非 sp 解决方案有很多优点,但暴露所有表让我有点担心。
这个问题一般针对主要数据库供应商产品,但具体而言,是针对 sql server 2008。
最佳答案
仅从安全角度来看,我看不出非 SP 方法比 SP 方法有任何优势,因为:
- 您必须直接向基础表等授予权限
- 使用存储过程,可以封装/隐藏所有真实的底层架构信息(SP 也可以加密)
关于sql-server - 存储过程与无存储过程 - 安全观点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1199886/