如何在不提升用户权限的情况下,使普通用户执行sp_OACreate存储过程

原创 2008年09月16日 11:07:00

环境需求:

SQL Server 2005 及之后的版本

 

背景

在论坛上遇到一个问题,询问如何使用一个普通用户调用一个存储过程,这个存储过程使用了sp_OACreate这一系列存储过程来执行一些非常规的任务。当然,前提是普通用户只有调用这个存储过程的时候才能获得执行sp_OACreate的权限。最初的时候也没有仔细考虑,心想,sp_OACreate需要具有sysadmin固定服务器角色的成员身份才能调用,那么直接在存储过程用EXECUTE AS LOGIN将会话的执行上下文设置了一个sysadmin固定服务器角色的成员就好了吧,于是给了一段T-SQL脚本。

但随后发现是行不通的,如果要用EXECUTE AS LOGIN,调用者必须对要模拟的登录具有IMPERSONATE权限,但如果普通用户拿到了这个权限,则他可以随时使用EXECUTE AS LOGIN,没有达到“普通用户只有调用这个存储过程的时候才能获得执行sp_OACreate的权限”的控制目的。

 

错误的解决办法

USE master;

GO

 

-- 建立登录

CREATE LOGIN OA_login

WITH PASSWORD = N'Pwd.123',

    CHECK_POLICY = OFF;

GO

 

-- 授予权限

EXEC sp_addsrvrolemember N'OA_login', N'sysadmin';

GO

 

-- 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏

DENY CONNECT SQL

    TO oa_login;

GO

 

 

-- 被调用的存储过程

USE tempdb;

GO

CREATE PROC dbo.p

AS

EXECUTE AS LOGIN = N'OA_login' ;

 

-- 调用sp_OACreate 的代码

--EXEC sp_OACreate;

 

REVERT;

GO

当试图使用普通用户调用上面的存储过程的时候,会收到如下的错误信息。

无法作为服务器主体执行,因为主体 "grant_login" 不存在、无法模拟这种类型的主体,或您没有所需的权限。

 

正确的解决办法

正确的解决办法是在通过存储过程的EXEUTE AS指定存储过程执行时的安全上下文,当然,这个被指定的用户要求能够调用sp_OACreate这一系列存储过程。

-- 1. 具有执行sp_OA... 权限的登录

USE master;

GO

 

-- 1.a. 建立登录

CREATE LOGIN OA_login

WITH PASSWORD = N'Pwd.123',

    CHECK_POLICY = OFF;

GO

-- 1.b. 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏

DENY CONNECT SQL

    TO OA_login;

GO

-- 1.c. 因为要使用sp_OA 这一系列的存储过程, 所以在 master 中要有用户, 并具有权限

CREATE USER OA_login

FOR LOGIN OA_login

WITH DEFAULT_SCHEMA = dbo;

 

GRANT EXECUTE ON sys.sp_OACreate

    TO OA_login;

   

GRANT EXECUTE ON sys.sp_OADestroy

    TO OA_login;

   

GRANT EXECUTE ON sys.sp_OAGetErrorInfo

    TO OA_login;

   

GRANT EXECUTE ON sys.sp_OAGetProperty

    TO OA_login;

   

GRANT EXECUTE ON sys.sp_OAMethod

    TO OA_login;

   

GRANT EXECUTE ON sys.sp_OASetProperty

    TO OA_login;

   

GRANT EXECUTE ON sys.sp_OAStop

    TO OA_login;

GO

 

 

-- 2. 用户数据库

USE tempdb;

GO

 

-- 2.a 为执行sp_OA... 权限的登录建立用户

CREATE USER OA_login

FOR LOGIN OA_login

WITH DEFAULT_SCHEMA = dbo;

GO

 

-- 2.b 测试存储过程

CREATE PROC dbo.p

WITH EXECUTE AS N'OA_login'  -- 指定存储过程的执行时的上下文

AS

    DECLARE @object int;

    DECLARE @hr int;

    DECLARE @src varchar(255), @desc varchar(255);

   

    EXEC @hr = sp_OACreate 'ADODB.RecordSet', @object OUT;

    IF @hr <> 0

        GOTO lb_Err;

       

    EXEC @hr = sp_OAMethod @object, 'Open', NULL, 'SELECT ServerName = @@SERVERNAME', N'Provider=SQLOLEDB.1;Integrated Security=SSPI';

    IF @hr <> 0

        GOTO lb_Err;

       

    EXEC @hr = sp_OAMethod @object, 'GetRows';

    IF @hr <> 0

        GOTO lb_Err;

 

    EXEC @hr = sp_OADestroy @object;

    RETURN;

   

lb_Err:

    BEGIN

       EXEC sp_OAGetErrorInfo @object, @src OUT, @desc OUT ;

       RAISERROR('Error Creating COM Component 0x%x, %s, %s',16,1, @hr, @src, @desc);

    END;

GO

 

 

-- 3. 调用存储过程的普通登录

USE master;

GO

-- 3.a 登录

CREATE LOGIN test

WITH PASSWORD = N'abc.123',

    CHECK_POLICY = OFF;

GO

 

-- 3.b 数据库用户

USE tempdb;

GO

CREATE USER test

FOR LOGIN test;

GO

 

-- 3.c 执行存储过程的权限

GRANT EXECUTE ON dbo.p

    TO test;

GO

 

-- 3.d 执行测试

EXECUTE AS LOGIN = N'test';

GO

EXEC dbo.p;

GO

REVERT;

GO

 

-- 4. 删除测试

DROP PROC dbo.p;

DROP USER test;

DROP USER OA_login;

 

USE master;

DROP LOGIN test;

DROP USER OA_login;

DROP LOGIN OA_login;

 

补充说明

多数情况下,数据库的所有者是sa一类的sysadmin固定服务器角色的成员,所以在这种情况下,也可以直接指定使用数据库所有者作为存储过程执行的安全上下文。

USE tempdb;

GO

-- 2.b 测试存储过程

CREATE PROC dbo.p

WITH EXECUTE AS N'dbo'  -- 指定存储过程的执行时的上下文

AS

    DECLARE @object int;

    DECLARE @hr int;

    DECLARE @src varchar(255), @desc varchar(255);

   

    EXEC @hr = sp_OACreate 'ADODB.RecordSet', @object OUT;

    IF @hr <> 0

        GOTO lb_Err;

       

    EXEC @hr = sp_OAMethod @object, 'Open', NULL, 'SELECT ServerName = @@SERVERNAME', N'Provider=SQLOLEDB.1;Integrated Security=SSPI';

    IF @hr <> 0

        GOTO lb_Err;

       

    EXEC @hr = sp_OAMethod @object, 'GetRows';

    IF @hr <> 0

        GOTO lb_Err;

 

    EXEC @hr = sp_OADestroy @object;

    RETURN;

   

lb_Err:

    BEGIN

       EXEC sp_OAGetErrorInfo @object, @src OUT, @desc OUT ;

       RAISERROR('Error Creating COM Component 0x%x, %s, %s',16,1, @hr, @src, @desc);

    END;

GO

 

 

-- 3. 调用存储过程的普通登录

USE master;

GO

-- 3.a 登录

CREATE LOGIN test

WITH PASSWORD = N'abc.123',

    CHECK_POLICY = OFF;

GO

 

-- 3.b 数据库用户

USE tempdb;

GO

CREATE USER test

FOR LOGIN test;

GO

 

-- 3.c 执行存储过程的权限

GRANT EXECUTE ON dbo.p

    TO test;

GO

 

-- 3.d 执行测试

EXECUTE AS LOGIN = N'test';

GO

EXEC dbo.p;

GO

REVERT;

GO

 

-- 4. 删除测试

DROP PROC dbo.p;

DROP USER test;

 

USE master;

DROP LOGIN test;

 

最后说明一点,要使用sp_OACreate这一系列存储过程,得将服务器的“Ole Automation Procedures”选项打开,参考如下的代码。

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE;

 

EXEC sp_configure 'Ole Automation Procedures', 1;

RECONFIGURE;

 

SQL 不常用的一些命令sp_OACreate,xp_cmdshell,sp_makewebtask

options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;-- 开启xp_cmdshell EXEC sp_conf...
  • dz45693
  • dz45693
  • 2013年07月03日 17:19
  • 3772

未能找到存储过程 'sp_oacreate'解决方法

 未能找到存储过程 sp_oacreate。未能找到存储过程 sp_oamethod。未能找到存储过程 sp_oamethod。未能找到存储过程 sp_oadestroy。 在还原数据库的时候出现"错...

Delphi7高级应用开发随书源码

  • 2003年04月30日 00:00
  • 676KB
  • 下载

SQL Server 阻止了对组件 'Ole Automation Procedures' 的 过程'sys.sp_OACreate' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_configure 启用 'Ol

错误: SQL Server 阻止了对组件 Ole Automation Procedures 的 过程sys.sp_OACreate 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管...
  • IT_zen
  • IT_zen
  • 2007年03月29日 19:08
  • 17309

PostgreSQL 存储过程调试

在PG-2000DBA的培训中学到的一点是可以用pgAdmin3对存储过程进行调试。我们开发过程中用到了很多存储过程,一直苦于不能调试,只是用NOTICE打印出调试信息,非常麻烦。 开启调试,需...

asp.net web实现定时器功能

在web程序上实现定时器,有一定难度,浏览器端其实只需要使用js的定时器就可以实现,但服务端如何实现呢?都是使用Global.asax加Timer 实现的,但很多文章却没有提到这种设计的问题。 ...
  • jybjy
  • jybjy
  • 2015年09月18日 12:10
  • 1956

如何在不提升用户权限的情况下,使普通用户执行xp_cmdshell存储过程2008-11-26 14:09:29SQL Server 2005 及之后的版本

 xp_cmdshell是一个很危险的存储过程,通过它,可以访问操作系统的资源,但有时候我们也需要使用它来实现一些特殊的处理。从安全的角度来考虑,禁用xp_cmdsehll是最保险的,即使为了特殊目的...
  • yatere
  • yatere
  • 2011年05月31日 16:43
  • 1491

Hadoop架设过程中实现普通用户权限下SSH无密码登录

Hadoop架设过程中实现普通用户权限下SSH无密码登录 from http://snowfigure.diandian.com/post/2012-09-23/40038545536 ...

Linux环境下提升普通用户权限(sudo)

一. Linux环境下提升普通用户权限(sudo) 用sudo让普通用户获得超级用户的一部分权利,能够做超级用户才能做的事情,还能够对普通用户身份做一些限制,指定某一个或某几个人来做,并且普通用户不需...

Ubuntu下关于将普通用户权限提升为root的问题

PS:由于博主刚刚接触linux,所以喜欢吓琢磨。现在记录一下在将普通用户提升为root用户时出现的问题。问题的由来 博主一个好奇就想把自己的那个用户提升为root级别的,所以进行了如下操作。 su ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何在不提升用户权限的情况下,使普通用户执行sp_OACreate存储过程
举报原因:
原因补充:

(最多只允许输入30个字)