在Web应用与SQL Server交互的场景中,为Web服务分配的数据库账号如果拥有过高的权限,比如具备建表、删库、修改表结构等DDL权限,一旦出现SQL注入或者代码逻辑漏洞,就可能导致整个数据库的数据被篡改甚至删除。因此针对SQL Server做权限最小化配置,限制Web账号仅拥有DML权限是非常有必要的。
SQL Server权限体系基础
SQL Server的权限分为服务器级权限和数据库级权限,我们要限制的Web账号属于数据库级权限范畴。DML权限指的是对数据表的增删改查操作权限,对应的操作是INSERT、DELETE、UPDATE、SELECT,不包含CREATE、ALTER、DROP这类DDL操作权限,也不包含授权其他账号的权限。
限制Web账号仅拥有DML权限的完整步骤
1. 创建专用的Web登录名
首先需要在SQL Server的服务器级别创建一个用于Web服务登录的账号,避免使用sa或者其他高权限账号。以下是创建登录名的SQL代码:
-- 创建SQL Server登录名,设置强密码 CREATE LOGIN web_app_login WITH PASSWORD = 'Web@App#2024StrongPwd'; -- 禁止登录名修改密码和强制密码过期策略(根据实际需求调整) ALTER LOGIN web_app_login WITH CHECK_POLICY = OFF;
2. 在目标数据库中创建用户并关联登录名
登录名只是服务器层面的身份标识,需要在具体的业务数据库中创建对应的用户,才能访问该数据库的资源。假设我们的业务数据库名为app_db,操作代码如下:
-- 切换到目标业务数据库 USE app_db; GO -- 创建数据库用户,关联之前创建的登录名 CREATE USER web_app_user FOR LOGIN web_app_login;
3. 授予DML权限
接下来需要给这个数据库用户授予对应表的DML操作权限,通常有两种方式,一种是针对单个表授权,一种是针对整个schema授权,推荐优先使用schema级别授权,减少重复操作。
方式一:针对单个表授予DML权限
如果只需要给Web账号开放部分表的权限,可以使用以下代码:
-- 授予用户对table1表的SELECT、INSERT、UPDATE、DELETE权限 GRANT SELECT, INSERT, UPDATE, DELETE ON dbo.table1 TO web_app_user; -- 授予用户对table2表的相同权限 GRANT SELECT, INSERT, UPDATE, DELETE ON dbo.table2 TO web_app_user;
方式二:针对整个schema授予DML权限
如果需要开放某个schema下所有表的DML权限,可以使用以下代码,默认业务表的schema是dbo:
-- 授予用户对dbo schema下所有表的DML权限 GRANT SELECT, INSERT, UPDATE, DELETE ON SCHEMA::dbo TO web_app_user;
4. 回收不必要的权限
为了防止默认权限带来的风险,需要明确回收用户可能拥有的额外权限,比如DDL权限、执行存储过程的权限等:
-- 回收用户所有的DDL相关权限 REVOKE CREATE TABLE, ALTER ANY TABLE, DROP TABLE ON DATABASE::app_db FROM web_app_user; -- 回收用户授权其他账号的权限 REVOKE GRANT OPTION ON SCHEMA::dbo FROM web_app_user;
权限验证方法
配置完成后,需要验证账号权限是否符合预期,避免权限过高或者过低。可以使用以下方式验证:
- 使用新创建的web_app_login登录SQL Server,尝试执行SELECT查询,确认可以正常查询数据
- 尝试执行INSERT、UPDATE、DELETE操作,确认可以正常修改数据
- 尝试执行CREATE TABLE语句,确认返回权限不足的错误提示
- 尝试执行ALTER TABLE语句,确认返回权限不足的错误提示
验证通过的SQL示例代码如下:
-- 验证查询权限
SELECT * FROM dbo.table1;
-- 验证插入权限
INSERT INTO dbo.table1 (col1, col2) VALUES ('test', 1);
-- 验证DDL权限是否受限,执行以下语句应该报错
CREATE TABLE dbo.test_table (id INT);
权限最小化配置的注意事项
权限最小化配置的核心原则是仅授予业务必需的最小权限,不要为了方便授予多余权限。
- 不要给Web账号授予sysadmin、db_owner这类服务器级或者数据库级的高权限角色
- 如果Web服务只需要查询数据,不要授予INSERT、UPDATE、DELETE权限
- 定期审计数据库账号的权限,及时回收不再使用的账号权限
- 密码需要设置为复杂度足够的强密码,避免被暴力破解
常见问题解答
Q:如果Web服务需要调用存储过程怎么办?
如果Web服务需要执行特定的存储过程,可以单独授予该存储过程的EXECUTE权限,而不是授予整个数据库的存储过程执行权限:
-- 授予用户执行指定存储过程的权限 GRANT EXECUTE ON dbo.proc_get_user_info TO web_app_user;
Q:如何查看现有账号的权限?
可以通过系统视图查询指定用户的权限信息,代码如下:
-- 查询指定用户的数据库级权限
SELECT
dp.name AS user_name,
o.name AS object_name,
p.permission_name,
p.state_desc
FROM sys.database_permissions p
LEFT JOIN sys.database_principals dp ON p.grantee_principal_id = dp.principal_id
LEFT JOIN sys.objects o ON p.major_id = o.object_id
WHERE dp.name = 'web_app_user';
SQL_Server权限最小化DML权限Web账号配置修改时间:2026-06-26 13:36:43