个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我被告知在 SQL Server 2000 中使用 SP_OACreate 和 SP_OAMethod 存在安全风险。
我在程序集中使用强名称并存储在 SQL Server 计算机上的 GAC 中。
安全隐患/妥协是什么?
最佳答案
这些扩展存储过程允许从 SQL Server 内部实例化 OLE(“ActiveX”)对象。创建 MSXML 对象并让它以 HTTP POST 形式发送一些数据库数据的典型用例。
在我看来,sp_OACreate 等程序有两个问题:
默认情况下,只有具有 sysadmin 角色的主体才能执行这些操作。授予和测试这些权限是一件痛苦的事情。 (您必须将用户添加到 Master 数据库并授予他们对该数据库的权限。)
授予的权限非常广泛。你不能只说“好的用户,你有权创建这种对象并用它做 xyz”。相反,你说“好的用户,你有权创建你想要的任何 OLE 对象并做任何你想做的事。”这是一个相当广阔的 Canvas 。
关于sql-server - 使用 SP_OACreate、SP_OAMethod 等有安全风险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2698292/
24
4
0
即使在我正在使用的 Microsoft 网站上,我似乎也能找到答案: EXECUTE @RetCode = sp_OAMethod @FileSystem, 'OpenTextFile', @Fi
我被告知在 SQL Server 2000 中使用 SP_OACreate 和 SP_OAMethod 存在安全风险。 我在程序集中使用强名称并存储在 SQL Server 计算机上的 GAC 中。
我被告知在 SQL Server 2000 中使用 SP_OACreate 和 SP_OAMethod 存在安全风险。 我在程序集中使用强名称并存储在 SQL Server 计算机上的 GAC 中。
我正在尝试使用可以将输入传递给的存储过程使用 Transact-SQL 写入文件。但是,每次我在 SQL Server 2012 中运行命令时,它都会显示 Command(s) completed s
Win2003 + SQL Server 2005 的工作代码在 Win2012 + SQL Server 2012 sp1 下不起作用。 唯一的~真实的solution我发现是: I copied
我们正在尝试检索由私有(private)第三方 WebAPI 提供的一些 JSON 结果。出于某种原因,其中一个调用每次都返回 NULL。如果我们使用不同的 URI 调用来访问不同的信息,它就可以工作
我正在使用 Microsoft SQL Server 2008 R2,我尝试通过 bcp(带有预定作业)转储一个表。首先,我用 xp_cmdshell 实现了它,但我听说,出于安全原因,应该避免这种情
通过 SSMS 调用 REST 服务确实不是一个好主意。 顺便说一句,自从微软创建了 Stored Procedure sp_OAMethod甚至来自 Red Gate 的 Phil Factor s
通过 SSMS 调用 REST 服务确实不是一个好主意。 顺便说一句,自从微软创建了 Stored Procedure sp_OAMethod甚至来自 Red Gate 的 Phil Factor s
我是一名优秀的程序员,十分优秀!