За замовчуванням у SQL Server [public]роль EXECUTEувімкнена sp_executesql.
Однак я успадкував сервер баз даних, де попередня DBA скасувала EXECUTEправо на sp_executesql.
Як тимчасове вирішення, я надав EXECUTEправа sp_executesqlза потребою (через роль у головній базі даних). Але це починає бути технічним болем.
Якщо я EXECUTEповернусь громадськості, чи мають бути якісь наслідки, про які я маю знати?
Відповіді:
Жоден. sp_executesqlвиконує SQL в точно такому ж контексті та привілеях, що і оригінальний абонент, який виконував би той самий SQL. Є багато-багато випадків, коли динамічний SQL неминучий.
sp_executesql. Якщо припустити динамічну вимогу SQL, то відключення sp_executesqlможе насправді підвищити ризик, як мінімум, що дозволяє параметризувати запити (на відміну від них EXEC)
sp_executesqlне є відповідним пом'якшенням. Переважна більшість помилок введення SQL виникає у клієнта, коли оператор SQL будується "вручну" шляхом об'єднання фрагментів SQL з вхідними змінними, а потім виконує "як є". Для всіх тих випадків, sp_executesqlколи бути відключеними, нічого не допомагає.