存储过程与无存储过程 - 安全性观点 [英] Stored Procedures vs No Stored Procedures - Security Viewpoint

问题描述

对于Web应用程序数据库，从安全角度仅，什么是反对sp唯一解决方案的点的参数，其中应用程序数据库帐户无权访问表和视图，只能执行sps？

For a web application database, from a security standpoint only, what are arguments counter to the point for an sp only solution where the app db account has no rights to tables and views and only exec on sps?

如果有人拦截了应用程序数据库帐户，暴露于攻击的表面区域远小于表和视图未被暴露时。非sp解决方案提供哪些安全优势（或不）？我看到使用非sp解决方案有很多优点，但是暴露所有的表格让我有点担心。

If someone intercepts the app db account, the surface area exposed to an attack is much less then when tables and views aren't exposed. What security advantages would a non sp solution offer (or not)? I see many advantages to using a non sp solution, but exposing all the tables leaves me a little worried.

问题是一般的主要数据库供应商产品，但具体来说， sql server 2008。

The question is for major database vendor products in general but specifically, sql server 2008.

推荐答案

从安全角度来看，我不能看到非SP方法有什么好处有一个SP方法，因为：

From a security point of view only, I can't see any advantages a non-SP approach would have over an SP approach because:

• 你必须直接向底层表格授予权限。


• 使用sproc，所有真正的底层模式信息都可以被封装/隐藏（SP也可以被加密）

这篇关于存储过程与无存储过程 - 安全性观点的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！