存储过程是否比对数据库使用LINQ更安全？

Question

我不是一个安全专家，在我的项目中有一个关于我们是否应该使用实体框架的讨论。尽管看起来我们会使用它，但项目负责人仍然坚持认为，出于安全性的考虑，我们仍然应该使用存储过程来执行所有操作(包括简单的CRUDs)。他说，如果我们使用存储过程，用户将只需要执行存储过程的权限，而不需要创建/读取/更新/删除的权限。

正如我之前说过的，我不是安全专家，所以我很好奇这是不是真的。

Answer 1

这样做的目的是将权限和特权授予各个存储过程，然后这些存储过程可以访问表，而不是表本身。

这样，您可以限制所有表中的用户，并允许SP基于其他逻辑(SP级别的DB权限以及SP中的代码)进行语义访问。

这使整体安全框架在角色和权限方面具有更精细的粒度。

例如，使用普通的DB权限，可以很容易地限制用户可以看到的表，但不能限制他们在表中可以看到的行。

解决此问题的两种方法是限制对基础表的访问，然后在该表上创建一个受限视图并授予该表的权限，或者您可以通过SP限制访问，该SP具有能够限制用户可以看到的行的逻辑。

Answer 2

是真的。

存储过程提供了比标准表权限执行更好的安全性的能力(例如，允许仅更新表的几列)

但是..。

对于开发者来说，这是一场噩梦。即使是最简单的查询也需要实现为存储的proc或view。所以它不是敏捷、快速或性感的:)