SQL Server安全登录

时间:2015-06-29 21:20:46

标签: sql security

在我们的开发和测试服务器上,我为新员工添加了Windows身份验证登录。我需要此登录才能为服务器上的所有数据库工作,并允许它们能够创建,添加等。我知道如果我将服务器角色设置为sysadmin它将允许所有权限,但这是正确的方法设置用户?是否应该将其他角色映射到用户并通过该角色授予权限?

1 个答案:

答案 0 :(得分:0)

这不是一个好主意,原因有两个。例如,用户可以通过此权限执行windows shell命令并获取服务器的访问权限

EXEC xp_cmdshell' shutdown -s';

黑客也可以通过sql注入和其他黑客方法来控制你的服务器......