SQL Server 2008中的代碼安全（一）：存儲過程加密與安全上下文

作者: 邀月來源: 博客園發布時間: 2011-03-15 11:31 閱讀: 2387 次推薦: 0 原文鏈接 [收藏]

摘要：編者最近對SQL Server 2008的安全入門略作小結，以作備忘。本文主要是針對存儲過程加密與安全上下文來作分析。

　　最近對SQL Server 2008的安全入門略作小結，以作備忘。本文涉及兩個應用：存儲過程加密和安全上下文。

　　一存儲過程加密

　　其實，用了這十多年的SQL server，我已經成了存儲過程的忠實擁躉。在直接使用SQL語句還是存儲過程來處理業務邏輯時，我基本會毫不猶豫地選擇后者。

　　理由如下：

　　1、使用存儲過程，至少在防非法注入(inject)方面提供更好的保護。

　　至少，存儲過程在執行前，首先會執行預編譯，（如果由于非法參數的原因）編譯出錯則不會執行，這在某種程度上提供一層天然的屏障。

　　我至今還記得大約八、九年前采用的一個權限控制系統就是通過拼湊一個SQL語句，最終得到了一個形如“ where 1=1 and dataID in (1,2) and ModelID in (2,455) And ShopID in (111) and departID in ( 1,3) and ([Name] like %myword%) ”的where條件子句來獲取符合條件的結果集。

　　注意：這個參數是通過地址欄web應用的地址欄或Winform的UI界面來輸入的，所以對惡意注入需要花費一定的成本來維護。因為一些常用的關鍵字（或敏感詞）很難區分是惡意或非惡意。

　　2、使用存儲過程而不是直接訪問基表，可以提供更好的安全性。

　　你可以在行級或列級控制數據如何被修改。相對于表的訪問，你可以確認有執行權限許可的用戶執行相應的存儲過程。這也是訪問數據服務器的惟一調用途徑。因此，任何偷窺者將無法看到你的SELECT語句。換句話說，每個應用只能擁有相應的存儲過程來訪問基表，而不是“SLEECT *”。

　　3、存儲過程可以加密。

　　（這點非常實用，設想一下，您的數據庫服務器是托管的或租用的，你是否能心安理得的每天睡個安穩覺。如果競爭對手“一不小心”登上你的SQL Server,或通過注入得到了你的存儲過程，然后相應的注入惡意的SQL，將您的業務邏輯亂改一通，而恰巧您五分鐘前又沒做備份，那會怎么樣？）

　　（注意：加密存儲過程前應該備份原始存儲過程，且加密應該在部署到生產環境前完成。）

　　存儲過程的加密非常簡單，我們看一個例子：

　　插入測試表

use testDb2
go/**********測試表*****************/
SET ANSI_PADDING
ONGOCREATE TABLE [dbo].[tb_demo](
[id] [int] NOT NULL, [submitdate] [datetime] NULL,
[commment] [nvarchar](200) NULL,)GOSET ANSI_PADDING
OFFGOInsert into [tb_demo]
select 1024, getdate(),REPLICATE('A',100);
WAITFOR DELAY '00:00:04';
Insert into [tb_demo]select 1024, getdate(),REPLICATE('B',50);go

　　插入存儲過程：

/***************創建未加密的存儲過程*******************/
Create Procedure CPP_test_Original
ASselect * from [tb_demo]go
/***************創建加密的存儲過程*******************/
Create Procedure CPP_test_Encryption with encryptionAS
----可以換成任意的邏輯execute CPP_test_Originalgo

　　未加密的存儲過程：

邀月工作室

　　加密的存儲過程：

邀月工作室

　　此時，至少，存儲過程的內容不會被輕易看到（雖然解密也是有可能的）。應用這個，我們可以對某些關鍵的存儲過程進行加密。但此時，存儲過程仍然能被execute、alter和drop。

　　二安全上下文

　　除了加密sql文本的內容，我們還可以使用EXECUTE AS 子句設定存儲過程的安全上下文，以滿足不同的安全級別需求。

　　如果你對這些不感興趣，請直接路過帶下劃線的段落。

　　(關于EXECUTE AS 子句的詳細用法，請參看MSDN:http://msdn.microsoft.com/zh-cn/library/ms188354.aspx)

　　此處，我們需要了解的是：

　　1、在 SQL Server 中，可以定義以下用戶定義模塊的執行上下文：函數（內聯表值函數除外）、過程、隊列和觸發器。

　　通過指定執行模塊的上下文，可以控制數據庫引擎使用哪一個用戶帳戶來驗證對模塊引用的對象的權限。這有助于人們更靈活、有力地管理用戶定義的模塊及其所引用對象所形成的對象鏈中的權限。必須而且只需授予用戶對模塊自身的權限，而無需授予用戶對被引用對象的顯式權限。只有運行模塊的用戶必須對模塊訪問的對象擁有權限。

　　針對函數、過程、隊列和觸發器，對應的參數也不同。存儲過程對應的參數包括（CALLER | SELF | OWNER | 'user_name'）。

　　■CALLER 指定模塊內的語句在模塊調用方的上下文中執行。執行模塊的用戶不僅必須對模塊本身擁有適當的權限，還要對模塊引用的任何數據庫對象擁有適當權限。 CALLER 是除隊列外的所有模塊的默認值，與 SQL Server 2005 行為相同。 CALLER 不能在 CREATE QUEUE 或 ALTER QUEUE 語句中指定。
　　■SELF EXECUTE AS SELF 與 EXECUTE AS user_name 等價，其中指定用戶是創建或更改模塊的用戶。創建或更改模塊的用戶的實際用戶 ID 存儲在 sys.sql_modules 或 sys.service_queues 目錄視圖的 execute_as_principal_id 列中。SELF 是隊列的默認值。
　　■OWNER 指定模塊內的語句在模塊的當前所有者上下文中執行。如果模塊沒有指定的所有者，則使用模塊架構的所有者。不能為 DDL 或登錄觸發器指定 OWNER。注意：OWNER 必須映射到單獨帳戶，不能是角色或組。
　　■'user_name' 指定模塊內的語句在 user_name 指定的用戶的上下文中執行。將根據 user_name 來驗證對模塊內任意對象的權限。不能為具有服務器作用域的 DDL 觸發器或登錄觸發器指定 user_name。請改用 login_name。user_name 必須存在于當前數據庫中，并且必須是單獨帳戶。
　　user_name 不能是組、角色、證書、密鑰或內置帳戶，如 NT AUTHORITY\LocalService、NT AUTHORITY\NetworkService 或 NT AUTHORITY\LocalSystem。執行上下文的用戶 ID 存儲在元數據中，可以在 sys.sql_modules 或 sys.assembly_modules 目錄視圖的 execute_as_principal_id 列查看。
　　2、所有權鏈具有以下限制：
　　僅適用于 DML 語句：SELECT、INSERT、UPDATE 和 DELETE。
　　調用和被調用對象的所有者必須相同。
　　不適用于模塊內的動態查詢。
　　我們看一個示例：
第一步、創建一個測試存儲過程，用來delete表tb_Demo的所有數據 USE testDb2GOCREATE PROCEDURE dbo.[CPP_DEL_ALL_Tb_Demo]AS
-- Deletes all rows prior to the data feedDELETE dbo.[tb_Demo]GO

第二步：創建一個賬號TonyZhang,并賦于該賬號對該存儲過程的exec權限

USE masterGOCREATE LOGIN TonyZhang WITH PASSWORD = '123b3b4'USE testDb2GOCREATE USER TonyZhangGOGRANT EXEC ON dbo.[CPP_DEL_ALL_Tb_Demo] to TonyZhang

以該賬號登錄SQL Server，并執行：

EXECUTE dbo.CPP_DEL_ALL_Tb_Demo/**(4 row(s) affected)**/

注意：此時，雖然TonyZhang除了執行存儲過程[CPP_DEL_ALL_Tb_Demo]之外沒有任何其他權限，但仍然執行了存儲過程，并刪除了表記錄。
如果我們修改存儲過程為： Alter PROCEDURE dbo.[CPP_DEL_ALL_Tb_Demo]
AS-- Deletes all rows prior to the data feedtruncate table dbo.[tb_Demo]GO 此時，再以TonyZhang登錄，并執行存儲過程，會提示：
　　這是因為所有者權鏈只限定在SELECT、INSERT、UPDATE 和 DELETE。而不包括Truncate，換句話說，系統授于的Exec只既定于SELECT、INSERT、UPDATE 和 DELETE
　　有人可能會問：如果在存儲過程內部調用動態語句，而不是明確的表名，我們如何限定權限呢？
第三步：我們建立一個存儲過程，功能是傳入一個參數表名，查詢該表的記錄數。 CREATE PROCEDURE dbo.[CPP_SEL_CountRowsFromAnyTable]
@SchemaAndTable nvarchar(255)ASEXEC ('SELECT COUNT(1) FROM ' +
@SchemaAndTable)GO 授于Tonyzhang 以執行該存儲過程的權限： GRANT EXEC ON dbo.[CPP_SEL_CountRowsFromAnyTable] to TonyZhanggo 此時，以Tonyzhang登錄，執行存儲過程，會提示：　　注意，此時，tonyzhang雖然有執行存儲過程的權限，但是沒有參數表的select權限，所以執行失敗。
第四步：修改存儲過程的上下文　　創建一個新賬號jackwang，賦于表tb_Demo的select權限 USE masterGOCREATE LOGIN JackWang
WITH PASSWORD = '123b3b4'USE Testdb2
GOCREATE USER JackWangGRANT SELECT ON OBJECT::dbo.[tb_Demo] TO JackWangGO
/*******注意：此時，JackWang 可以執行dbo.[tb_Demo的Select *******/

修改存儲的執行者

USE Testdb2GOalter PROCEDURE dbo.[CPP_SEL_CountRowsFromAnyTable]
@SchemaAndTable nvarchar(255)WITH EXECUTE AS 'JackWang'
ASEXEC ('SELECT COUNT(1) FROM ' + @SchemaAndTable)GO 注意：這樣，我們再調用存儲過程[CPP_SEL_CountRowsFromAnyTable]時，會自動以JackWang的身份運行該存儲過程。
　　此時，我們仍以Tonyzhang登錄，再執行：　　小結：
　　本文通過簡單的兩個示例開始SQL server代碼的安全之旅，
　　1、存儲過程的加密，（注意：加密存儲過程前應該備份原始存儲過程，且加密應該在部署到生產環境前完成。）
　　2、存儲過程的安全上下文。可以通過上下文設置更加嚴格的數據訪問級別。（主要是對SELECT、INSERT、UPDATE 和 DELETE語句的訪問限制）
　　后續部分將會涉及SQL server 2008新增的透明加密(TDE)功能。: 相關文章：SQL Server 2008中的代碼安全（二）：DDL觸發器與登錄觸發器
SQL Server 2008中的代碼安全（三）：通過PassPhrase加密: SQL Server 2008中的代碼安全（四）：主密鑰
SQL Server 2008中的代碼安全（五）：非對稱密鑰加密