我被告知在SQL Server 2000中使用SP_OACreate,SP_OAMethod存在安全风险。
我在程序集中使用强名称,并存储在SQL Server计算机上的GAC中。
有什么安全隐患/妥协?
答案 0 :(得分:0)
不确定您的尝试但是对于SQL 2000,您应该阅读Using extended stored procedures or SP_OA stored procedures to load CLR in SQL Server is not supported。
风险在于您必须向EXECUTE用户授予SP_OACreate权限。
这意味着如果他们随后找到了执行任意SQL的方法,他们就可以创建服务器上可用的任何库的实例。
另一个问题是SP_OACreate正在加载库,所以如果它被炸弹,那么你的服务器也是如此。