Chapter 3 Protecting the Data(2):分配列级权限

最新推荐文章于 2023-06-06 16:33:27 发布
置顶 最新推荐文章于 2023-06-06 16:33:27 发布
阅读量4.9k 收藏 1
点赞数 1
分类专栏: 企业管理 DBA SQLServer2012SecurityCookBook 数据库管理 安全 SQL Server Security 文章标签: Database dba sql server 2012 security 列级权限
数据库管理 同时被 3 个专栏收录
277 篇文章 39 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏
原文出处:http://blog.csdn.net/dba_huangzj/article/details/39577861,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

        前一篇:http://blog.csdn.net/dba_huangzj/article/details/39548665

 

前言:

 

SQL Server的权限是有层次的,一个用户有架构级别的权限,就有了架构内部所有对象的权限,除非使用了DENY权限单独移除。但是对象并不是层次中的最低级,可以把权限设置到列级别。但是列级权限会覆盖掉表上被GRANT的权限。

 

实现:

 

要实现分配列级权限,可以使用GRANT SELECT ON <对象>语句,并且加上所需的列,如:

GRANT SELECT ON OBJECT::dbo.Employee (EmployeeId, LastName, Firstname, email) TO HumanResourceAssistant;


这个语句会仅供HumanResourceAssistant数据库角色成员能读取dbo.Employee 表上的EmployeeId, LastName, Firstname, email这三列,表上的其他列将不能被查询。(该表上还有Birthdate和Salary列),那么下面的查询中,第一个语句可以执行但是第二个语句不能执行,因为它需要使用到Salary列:

--能执行
SELECT FirstName + ' ' + LastName as Employee 
FROM dbo.Employee 
ORDER BY LastName, FirstName;
--不能执行 
SELECT FirstName + ' ' + LastName as Employee 
FROM dbo.Employee 
ORDER BY Salary DESC;


 

可以使用下面语句修改,使其可以查询全表的数据,但是仅能更新表上的三列:

GRANT SELECT ON OBJECT::dbo.Employee TO HumanResourceEmployee; 
GRANT UPDATE ON OBJECT::dbo.Employee (LastName, Firstname, email) TO HumanResourceEmployee;



原理:

 

当用户尝试查询未被授权的列是,会收到230错误:

The SELECT permission was denied on the column 'Salary' of the object 'Employee', database 'HumanResource', schema 'dbo'.


 

但是要注意权限的修改,特别是对DENY的使用,避免过多使用最底层的权限设置而导致权限策略太复杂而无法管理或者权限交叉。

 

更多:

 

列级权限会导致权限体系的不一致性,在后续版本可能被移除,建议使用视图来实现这种需求。

 

下一篇:http://blog.csdn.net/dba_huangzj/article/details/39639365

發糞塗牆
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Protecting Privacy in Data Release 无水印pdf
09-25
Protecting Privacy in Data Release 英文无水印pdf pdf所有页面使用FoxitReader和PDF-XChangeViewer测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系...
the seLECT permission was denied on the object types database mssqlsystemresource schema sys
张峰的博客
06-26 3146
the seLECT permission was denied on the object 'types', database 'mssqlsystemresource', schema 'sys'. (Microsoft SQL Server, Error: 229) exec sp_droprolemember 'db_denydatareader',[user] exec sp_droprolemember 'db_denydatawriter',[user]
java 数据权限控制_数据权限-数据列权限设计方案
weixin_33732812的博客
02-16 7853
前言项目实践中,基本都会有权限的需求,权限需求分为两大块:1、功能权限;2、数据权限。而数据权限又可在行和列上细分为两块,即数据范围权限:用户能看到哪些行的记录;数据字段权限:用户能看到这些行对应的哪些字段。本文以字段权限为例做一个demo展示。方案字段权限方案也有很多种,这里采用配置无权限字段,在sql查询前,对sql进行拦截过滤,剔除无权限字段。框架这里采用mybatis作为ORM框架。配置配...
oracle行列级权限控制(VPD)
m0_51192710的博客
06-06 1457
限制访问PDM用户下的表TEST_VPD,政策名称为LIMITED_QUERY_LINE,政策函数为PDM用户下的F_LIMITED_QUERY_LINE,政策类型为SELECT类型,启用该FGAC规则END;SEC_RELEVANT_COLS 要屏蔽的列(用逗号隔开)SEC_RELEVANT_COLS_OPT =>DBMS_RLS.ALL_ROWS说明对所有记录屏蔽该列END;
后台管理系统 -- 行权限与列权限的设计与实现
放码过来
11-27 3208
开篇说明 如果在这里获得过启发和思考,希望点赞支持!对于内容有不同的看法欢迎来信交流。 技术栈 >> java 邮箱 >> 15673219519@163.com 描述 后台系统中除了根据角色分配不同的菜单,还经常遇到在一菜单中,不同角色或者不同的人员拥有不同的查选权限。 查询权限又可以分为行查询,列查询。行查询实现起来比较简单,下面会简单列出我遇到到的方法;然而列权限似乎没有看到一个很好的实现方法,并且实现起来比较复杂,导致无从下手。 接下来,我将具体描述我在系统中的实现方式
mysql 列级权限授予用户_MySQL用户权限管理
weixin_34466909的博客
02-27 642
(互联网文档整理)MySQL的用户管理,指的是哪个用户可以连接服务器,从哪里连接,连接后能做什么.MySQL中grant语句创建mysql用户并指定其权限,而revoke语句删除权限。两条语句实现了mysql数据库的用户管理,并提供与直接操作这些表的内容不同的另一种方法。create和revoke语句影响4个表:授权表内容user 能连接服务器的用户以及他们拥有的任何全局权限db 数据库级权限ta...
Hadoop Security Protecting Your Big Data Platform
08-18
Hadoop Security Protecting Your Big Data Platform By Ben Spivey, Joey Echeverria Publisher: O'Reilly Media Final Release Date: June 2015 Pages: 340
Machine Learning and Security: Protecting Systems with Data and Algorithms
06-14
In addition to exploring the core machine learning algorithms and techniques, we focus on the challenges of building maintainable, reliable, and scalable data mining systems in the security space....
藏经阁-Protecting Enterprise Data in Apache Hadoop-28.pdf
最新发布
08-25
《藏经阁-Protecting Enterprise Data in Apache Hadoop》是一份关于在Apache Hadoop中保护企业数据的专业资料,由Hortonworks Inc.于2016年发布。这份文档主要探讨了Hadoop集群中可能面临的安全威胁以及相应的防护...
vpd列级权限控制举例
07-15
oracle数据安全介绍与简明使用之:vpd列级权限控制举例
java 修饰符作用域
jasonbrooke's home
12-09 231
作用域 当前类 同一package 子孙类 其他package public √ √ √ √ protected √ √ √ × fri...
使用行级别权限实现列权限控制
PowerBI木小桼
05-15 1130
15足不出户,足不出沪PowerBI是支持RLS和OLS的,即行级别权限控制和列级别控制,但是OLS是有很多限制的,特别是在和OLS混合使用时,具体的限制可以参考官方的文档:https://docs.microsoft.com/zh-cn/analysis-services/tabular-models/object-level-security?view=asallproducts-allversions&viewFallbackFrom=power-bi-premium-current所以在Po
mysql 列级权限授予用户_Chapter3ProtectingtheData(2):分配列级权限
weixin_42510407的博客
01-27 142
原文出处:http://blog.csdn.net/dba_huangzj/article/details/39577861,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以原创形式发布,也不得已用于商业用途,本人不负责任何法律责任。 前一篇:http://b原文出处:http://blog.c...
项目权限控制(1)-访问权限,字段权限
u011747152的博客
10-30 3739
不同的用户点击不同的导航时有不同的权限,有禁止读取,只读,读写三种关系。当用户点击这个界面时,开始查询这个用户的角色,并判断这个角色有没有这个对象的访问权限。再判断这个角色的所有可读字段。再进行sql拼装。这样子来控制权限
java 表格列级权限控制_分级的行列级权限系统的设计和实现 design and implementation of classable privilege management system o...
weixin_31974757的博客
03-02 685
分级的行列级权限系统的设计和实现 design and implementation of classable privilege management system on row and tier level3274 andDesign2011,V01.32,No.10计算机工程与设计ComputerEngi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值