代码之家  ›  专栏  ›  技术社区  ›  Ian Boyd

拒绝读取权限是否可以通过视图规避?

sql-server-2000 security
  •  1
  • Ian Boyd  · 技术社区  · 14 年前

    考虑用户被拒绝访问财务机密表: 

    select*from transactions
选择对象“事务”的权限被拒绝

    没问题:
    

创建视图dbo.transactions2 as select*from transactions
命令已成功完成。

从事务2中选择*。
(84387982行受影响)

    用户是否应该能够通过为表添加别名来绕过表上的denypermissions?
    


    编辑:Sauce:
里茨:
    


    SELECT * FROM Transactions
SELECT permission denied on object 'Transactions'

    


    没问题:
    


    CREATE VIEW dbo.Transactions2 AS SELECT * FROM Transactions
Command(s) completed succesfully.

SELECT * FROM Transactions2
(84,387,982 row(s) affected)

    


    用户应该能够绕过deny对表的权限(通过为表命名)?
    


    编辑:酱汁:
    2 回复  |  直到 14 年前
        1
  •  3
  •   Community CDub    7 年前

    ownership chaining

    one two

        2
  •  1
  •   Andrew Barber Eric Lafortune    14 年前

    推荐文章
    tnlewis  ·  如何计算两个日期之间的天数以及多个日期的总天数
    7 年前
    Big Pimpin  ·  设置SQL Server字段格式
    9 年前
    chenks  ·  带Excel的SQL OPENROWSET
    11 年前
    odlan yer  ·  这个select语句的正确sql脚本是什么?
    11 年前
    user1532976  ·  函数内不允许进行远程函数调用
    12 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号