在“深入《daxia123 网站木马” 来自微软专家的SQL注入防范方法》文章里,我深入了解了自微软专家的SQL注入防范方法,
为了确保使用数据库的Web应用程序最少访问权限。我可以批量修改表和存储过程的所有者,然后通过控制所有者的权限来实现SQL安全配置,
下面是批量修改表和存储过程的所有者的方法:
以下user代表新的所有者
1、更新数据表所有者
批量方法:EXEC sp_MSforeachtable 'exec sp_changeobjectowner ''?'',''user'' '
单个方法:exec sp_changeobjectowner 'city','user' --city表名
2、更新存储过程所有者
CREATE PROCEDURE ChangeProcOwner
@OldOwner as NVARCHAR(128),--参数原所有者
@NewOwner as NVARCHAR(128)--参数新所有者
AS
DECLARE @Name as NVARCHAR(128)
DECLARE @Owner as NVARCHAR(128)
DECLARE @OwnerName as NVARCHAR(128)
DECLARE curObject CURSOR FOR
select 'Name' = name,
'Owner' = user_name(uid)
from sysobjects
where user_name(uid)=@OldOwner and xtype='p'
order by name
OPEN curObject
FETCH NEXT FROM curObject INTO @Name, @Owner
WHILE(@@FETCH_STATUS=0)
BEGIN
if @Owner=@OldOwner
begin
set @OwnerName = @OldOwner + '.' + rtrim(@Name)
exec sp_changeobjectowner @OwnerName, @NewOwner
end
FETCH NEXT FROM curObject INTO @Name, @Owner
END
close curObject
deallocate curObject
GO
执行方法:
exec ChangeProcOwner 'dbo','user'
或者
exec ChangeProcOwner '?','user'
还有一种方法:
--如果一个数据库中(表和存储过程)有多个用户名,而要把它所有都改成dbo 就可以用如下的语句
Select 'sp_changeobjectowner ''' + User_Name(Uid) + '.' + name + ''',''dbo'' ' From sysobjects Where Uid Not in (User_ID('dbo')) And Type In ('U','P')
--然后把查询出来的语句拷贝出来,直接运行就表和存储过程的对象都会改过来,但SQL SERVER要先退出来,再进去,才能看到更改后的结果
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/songz210/archive/2009/01/20/3838743.aspx