个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我被告知在 SQL Server 2000 中使用 SP_OACreate 和 SP_OAMethod 存在安全风险。
我在程序集中使用强名称并存储在 SQL Server 计算机上的 GAC 中。
安全隐患/妥协是什么?
最佳答案
这些扩展存储过程允许从 SQL Server 内部实例化 OLE(“ActiveX”)对象。创建 MSXML 对象并让它以 HTTP POST 形式发送一些数据库数据的典型用例。
在我看来,sp_OACreate 等程序有两个问题:
默认情况下,只有具有 sysadmin 角色的主体才能执行这些操作。授予和测试这些权限是一件痛苦的事情。 (您必须将用户添加到 Master 数据库并授予他们对该数据库的权限。)
授予的权限非常广泛。你不能只说“好的用户,你有权创建这种对象并用它做 xyz”。相反,你说“好的用户,你有权创建你想要的任何 OLE 对象并做任何你想做的事。”这是一个相当广阔的 Canvas 。
关于sql-server - 使用 SP_OACreate、SP_OAMethod 等有安全风险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2698292/
24
4
0
我被告知在 SQL Server 2000 中使用 SP_OACreate 和 SP_OAMethod 存在安全风险。 我在程序集中使用强名称并存储在 SQL Server 计算机上的 GAC 中。
我被告知在 SQL Server 2000 中使用 SP_OACreate 和 SP_OAMethod 存在安全风险。 我在程序集中使用强名称并存储在 SQL Server 计算机上的 GAC 中。
SQL Server blocked access to procedure sys.sp_OACreate of component 'Ole Automation Procedures' beca
当我尝试在 SQL azure 数据库中执行 sp_OACreate 存储过程时。我收到以下错误: Could not find stored procedure 'sp_OACreate' 在 SQ
我是一名优秀的程序员,十分优秀!