[SQL SERVER 2K]Droits d'exécution procédure stockée

**Franck2mars** · 16/05/2006, 09h38

Salut,
j'utilise une procédure stockée par laquelle j'insère des données. Je crée une instruction sql en concaténant plusieurs chaines de caracteres.Je l'exécute avec exec(instruction sql). Cependant j'ai des droits restreints et mon instruction est un insert, or je n'ai pas les droits d'insertion. Quelqu'un sait il si je peux exécuter une instruction avec des droits particulier lors de l'appel de cette procédure par un programme?

**rudib** · 16/05/2006, 10h12

Bonjour,

je ne suis pas sûr d'avoir bien compris la question, mais basiquement, quand vous faites du SQL dynamique dans une procédure, vous devez vous assurez que le login/user qui exécute la procédure a les droits adéquats sur les objets référencés dans le SQL dynamique. C'est une règle de sécurité pour SQL Server, qui cherche par là à se prémunir contre des injections : imaginez que vous permettiez d'insérer dans votre SQL dynamique le contenu de paramètres passés à la procédure, vous risqueriez alors d'être la victime de tentatives d'injection, cad d'envoi de code SQL non désiré au serveur.

**SQLpro** · 16/05/2006, 10h28

Extrait de l'aide en ligne MS :

"

Lorsqu'une procédure stockée qui exécute une chaîne est lancée, les autorisations sont vérifiées dans le contexte non pas de l'utilisateur qui a créé la procédure, mais de celui qui exécute la procédure. Toutefois, si un utilisateur est propriétaire de deux procédures stockées et que la première appelle la seconde, l'autorisation EXECUTE n'est pas vérifiée pour la seconde procédure.

"
Donc, encapsulez la proc stock dans une autre !

A +

**Franck2mars** · 16/05/2006, 11h48

Alors, j'ai essayé mais semble-t-il, cela ne marche pas,

voila ma premiere proc stockée :

CREATE PROCEDURE [dbo].[ps_I_importdata]
@nom_table CHAR (255),
@champs char (255),
@data CHAR (255)

as
DECLARE @SQLStatement varchar(255)
begin
select @sqlstatement= 'insert into ' + rtrim(@nom_table) + ' (' + rtrim(@champs) + ') values (' + rtrim(@data) +')'
print (@SQLStatement)
EXEC ps_i_test @sqlstatement
end
GO

Voila ma deuxieme :

CREATE PROCEDURE [dbo].[ps_I_test]
@nom_table CHAR (255)

as
DECLARE @SQLStatement varchar(255)
begin
--select @sqlstatement= 'insert into ' + rtrim(@nom_table) + '(' + rtrim(@champs) + ') values (' + rtrim(@data) +')'
print (@nom_table)
EXEC (@nom_table)
end
GO

Voila comment j'appelle ma procédure :

exec ps_i_importdata 'I_SIGLE','ID_SIGLE,DESIGN','"FF","rrrrrrr"'

Et enfin voila mon message d'erreur, comme ca c'est complet!!!
Server: Msg 229, Level 14, State 5, Line 1
INSERT permission denied on object 'I_SIGLE', database '---, owner 'dbo'.

**rudib** · 16/05/2006, 12h15

vous n'y couperez pas : en cas de SQL dynamique, vous devez assurer les droits sur les objets

**SQLpro** · 16/05/2006, 13h42

Vous n'avez visiblement pas bien compris...

Voici la correction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
CREATE PROCEDURE [dbo].[ps_I_test]
@nom_table CHAR (255),
@champs char (255),
@data CHAR (255)
 
as
DECLARE @SQLStatement varchar(255)
begin
select @sqlstatement= 'insert into ' + rtrim(@nom_table) + '(' + rtrim(@champs) + ') values (' + rtrim(@data) +')'
EXEC (@nom_table)
end
GO
 
CREATE PROCEDURE [dbo].[ps_I_importdata]
@nom_table CHAR (255),
@champs char (255),
@data CHAR (255)
As
DECLARE @SQLStatement varchar(255)
begin
select @sqlstatement= 'ps_I_test ''' + @nom_table + ''', ''' + @champs + ''', ''' + @data
EXEC ps_i_test @sqlstatement
end
GO
 
exec ps_i_importdata 'I_SIGLE','ID_SIGLE,DESIGN','''FF'',''rrrrrrr'''

A +