Discussion :

[naouad]

Bonjour,

Je voudrais savoir s'il est possible de créer un user qui ne puisse exécuter que deux procédures stockées bien définies sur une base donnée et rien d'autres (aucun select sur la table master par exemple).
Si oui, comment et sinon, que me proposez-vous?
Merci de vos réponses.

[SQLpro]

Créez votre utilisateur et donnez lui les privilèges EXECUTE sur les procédures prévues.

En version 2000 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
EXECUTE sp_addlogin 'cnxUsrX', 'mo2pass', 'Mabase'
GO
 
USE Mabase
GO
 
EXECUTE sp_grantdbaccess 'cnxUsrX', 'UsrX'
GO
 
GRANT EXECUTE 
   ON sp_myProc1
   TO UsrX
GO
 
GRANT EXECUTE 
   ON sp_myProc2
   TO UsrX
GO

L'utilisateur SQL UsrX n'a plus qu'à se connecter avec le compte de connexion cnxUsrX et le mot de passe mo2pass auquel cas il devient l'utilisateur UsrX dans la base Mabase doté des privilèges d'exécution des procédures sp_myProc1 et sp_myProc2.

A +

[naouad]

Merci de votre réponse.

En effet, lorsque je me connecte avec ce user et que je souhaite exécuter une requête sur la table SYSLOGINS, j'ai bien SELECT permission denied.
Par contre, lorsque j'exécute une requête sur la table sysusers, il me donne bien des lignes de resultat.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
select * 
from sysusers
where (password is null) or (password = CAST('' as VARBINARY(128)))

exemple resultat:
name password
----- ---------
public NULL
dbo NULL
db_accessadmin NULL
...

pour les procédures stockées, il ne peut exécuter que ceux auxquelles il a droit.

Ma question est la suivante, est-il possible de limiter l'accès à la table sysusers et d'autres tables system ou de la base de données 'MaBase' succeptibles d'être interogées, sinon, quel est le risque que ce user puisse accèder en lecture à certaines tables system ?

Merci de votre réponse.

[SQLpro]

Question posée 10000000 fois... Et qui prouve la mauvaise formation générales des informaticiens français en matière de SGBDR !

Je suis d'ailleurs assez écoeuré quand je donne des cours au cnam ou à une école d'ingé de toulon (aux 5e année) de leur faire constater leur ignorance.

C'est par définition impossible !

Un utilisateur doit impérativement avoir accès aux tables système de la base pour savoir qui il est, ce qu'il peut faire...
Imaginez un seul instant que je vous dise : "trouvez moi les clients habitant paris" dans un système de fichier du genre Cobol et que je ne vous donne pas le nom du fichier. Allez vous commencer par chercher dans les 5419785431842494234587245 fichiers que contient votre système d'information quel est le bon ???

Il est donc parfaitement normal que l'utilisateur puisse lire (et seuelment lire) certaines tables systèmes. Cela ne constitue bien évidemment aucun danger....

A +

[naouad]

C'est exactement ce que je me suis dis, mais un doute persistait.
Merci bcp.