Книга: Обработка баз данных на Visual Basic®.NET

Тестирование системы безопасности с помощью программы SQL Query Analyzer

Тестирование системы безопасности с помощью программы SQL Query Analyzer

Здесь у читателя может возникнуть вопрос: а что произойдет, если "обычный" пользователь попытается получить доступ к объектам базы данных, не имея разрешения. Поскольку программа SQL Query Analyzer разрешает регистрироваться под любым именем, то ответ на этот вопрос можно получить, выполнив приведенные ниже действия с помощью диалогового окна Query.

1. Убедитесь в том, что для проверяемой учетной записи снят флажок роли db_owner для базы данных Novelty, который показан на рис. 3.23.

2. Отключитесь от используемого сервера, выбрав команду File?Disconnect (Файл?Отключиться) или команду File?Disconnect All (Файл?Отключиться от всех) в меню программы SQL Query Analyzer.

3. Теперь выберите команду File?Connect (Файл?Подключиться). В появившемся диалоговом окне Connect to SQL Server введите имя пользователя и пароль, созданные в предыдущем разделе для подключения к базе данных Novelty.

4. Теперь попробуйте выполнить запрос к таблице, доступ к которой этому пользователю запрещен. Например, выполните запрос

SELECT *
FROM tblCustomer

SQL Server вернет следующую строку:

Server: Msg 229, Level 14, State 5, Line 1
SELECT permission denied on object database 'Novelty', owner 'dbo'.

НА ЗАМЕТКУ

В этом примере (особенно в п. 5) предполагается, что используется база данных Novelty, а не какая-то другая.

5. Попытаемся теперь выполнить следующую хранимую процедуру:

LastNameLookup' smith'

В ответ SQL Server извлечет из таблицы tblCustomer все имена, созвучные имени Smith.

Оглавление книги


Генерация: 1.413. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз