导读:本期聚焦于小伙伴创作的《如何针对SQL Server进行权限最小化配置并限制Web账号仅拥有DML权限》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何针对SQL Server进行权限最小化配置并限制Web账号仅拥有DML权限》有用,将其分享出去将是对创作者最好的鼓励。

在Web应用与SQL Server交互的场景中,为Web服务分配的数据库账号如果拥有过高的权限,比如具备建表、删库、修改表结构等DDL权限,一旦出现SQL注入或者代码逻辑漏洞,就可能导致整个数据库的数据被篡改甚至删除。因此针对SQL Server做权限最小化配置,限制Web账号仅拥有DML权限是非常有必要的。

SQL Server权限体系基础

SQL Server的权限分为服务器级权限和数据库级权限,我们要限制的Web账号属于数据库级权限范畴。DML权限指的是对数据表的增删改查操作权限,对应的操作是INSERT、DELETE、UPDATE、SELECT,不包含CREATE、ALTER、DROP这类DDL操作权限,也不包含授权其他账号的权限。

限制Web账号仅拥有DML权限的完整步骤

1. 创建专用的Web登录名

首先需要在SQL Server的服务器级别创建一个用于Web服务登录的账号,避免使用sa或者其他高权限账号。以下是创建登录名的SQL代码:

-- 创建SQL Server登录名,设置强密码
CREATE LOGIN web_app_login WITH PASSWORD = 'Web@App#2024StrongPwd';
-- 禁止登录名修改密码和强制密码过期策略(根据实际需求调整)
ALTER LOGIN web_app_login WITH CHECK_POLICY = OFF;

2. 在目标数据库中创建用户并关联登录名

登录名只是服务器层面的身份标识,需要在具体的业务数据库中创建对应的用户,才能访问该数据库的资源。假设我们的业务数据库名为app_db,操作代码如下:

-- 切换到目标业务数据库
USE app_db;
GO
-- 创建数据库用户,关联之前创建的登录名
CREATE USER web_app_user FOR LOGIN web_app_login;

3. 授予DML权限

接下来需要给这个数据库用户授予对应表的DML操作权限,通常有两种方式,一种是针对单个表授权,一种是针对整个schema授权,推荐优先使用schema级别授权,减少重复操作。

方式一:针对单个表授予DML权限

如果只需要给Web账号开放部分表的权限,可以使用以下代码:

-- 授予用户对table1表的SELECT、INSERT、UPDATE、DELETE权限
GRANT SELECT, INSERT, UPDATE, DELETE ON dbo.table1 TO web_app_user;
-- 授予用户对table2表的相同权限
GRANT SELECT, INSERT, UPDATE, DELETE ON dbo.table2 TO web_app_user;

方式二:针对整个schema授予DML权限

如果需要开放某个schema下所有表的DML权限,可以使用以下代码,默认业务表的schema是dbo:

-- 授予用户对dbo schema下所有表的DML权限
GRANT SELECT, INSERT, UPDATE, DELETE ON SCHEMA::dbo TO web_app_user;

4. 回收不必要的权限

为了防止默认权限带来的风险,需要明确回收用户可能拥有的额外权限,比如DDL权限、执行存储过程的权限等:

-- 回收用户所有的DDL相关权限
REVOKE CREATE TABLE, ALTER ANY TABLE, DROP TABLE ON DATABASE::app_db FROM web_app_user;
-- 回收用户授权其他账号的权限
REVOKE GRANT OPTION ON SCHEMA::dbo FROM web_app_user;

权限验证方法

配置完成后,需要验证账号权限是否符合预期,避免权限过高或者过低。可以使用以下方式验证:

  • 使用新创建的web_app_login登录SQL Server,尝试执行SELECT查询,确认可以正常查询数据
  • 尝试执行INSERT、UPDATE、DELETE操作,确认可以正常修改数据
  • 尝试执行CREATE TABLE语句,确认返回权限不足的错误提示
  • 尝试执行ALTER TABLE语句,确认返回权限不足的错误提示

验证通过的SQL示例代码如下:

-- 验证查询权限
SELECT * FROM dbo.table1;
-- 验证插入权限
INSERT INTO dbo.table1 (col1, col2) VALUES ('test', 1);
-- 验证DDL权限是否受限,执行以下语句应该报错
CREATE TABLE dbo.test_table (id INT);

权限最小化配置的注意事项

权限最小化配置的核心原则是仅授予业务必需的最小权限,不要为了方便授予多余权限。
  • 不要给Web账号授予sysadmin、db_owner这类服务器级或者数据库级的高权限角色
  • 如果Web服务只需要查询数据,不要授予INSERT、UPDATE、DELETE权限
  • 定期审计数据库账号的权限,及时回收不再使用的账号权限
  • 密码需要设置为复杂度足够的强密码,避免被暴力破解

常见问题解答

Q:如果Web服务需要调用存储过程怎么办?

如果Web服务需要执行特定的存储过程,可以单独授予该存储过程的EXECUTE权限,而不是授予整个数据库的存储过程执行权限:

-- 授予用户执行指定存储过程的权限
GRANT EXECUTE ON dbo.proc_get_user_info TO web_app_user;

Q:如何查看现有账号的权限?

可以通过系统视图查询指定用户的权限信息,代码如下:

-- 查询指定用户的数据库级权限
SELECT 
    dp.name AS user_name,
    o.name AS object_name,
    p.permission_name,
    p.state_desc
FROM sys.database_permissions p
LEFT JOIN sys.database_principals dp ON p.grantee_principal_id = dp.principal_id
LEFT JOIN sys.objects o ON p.major_id = o.object_id
WHERE dp.name = 'web_app_user';

SQL_Server权限最小化DML权限Web账号配置修改时间:2026-06-26 13:36:43

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。