programmazione per SQL Server e attributi di protezione host

  • Articolo

Per poter caricare ed eseguire codice gestito in un host di SQL Server, è necessario soddisfare i requisiti dell'host sia per la sicurezza dall'accesso di codice che per la protezione delle risorse dell'host. I requisiti di sicurezza dall'accesso di codice sono specificati da uno di tre set di autorizzazioni di SQL Server: SAFE, EXTERNAL-ACCESS o UNSAFE. L'esecuzione del codice nell'ambito del set di autorizzazioni SAFE o EXTERNAL-ACCESS deve evitare alcuni tipi o membri con l'attributo HostProtectionAttribute applicato. HostProtectionAttribute non è un'autorizzazione di sicurezza, ma piuttosto una garanzia di affidabilità perché identifica specifici costrutti del codice, tipi o metodi, che l'host potrebbe non consentire. L'utilizzo di HostProtectionAttribute impone un modello di programmazione che consente di migliorare la stabilità dell'host.

Nota

La sicurezza dall'accesso al codice (CAS) è stata deprecata in tutte le versioni di .NET Framework e .NET. Le versioni recenti di .NET non rispettano le annotazioni CAS e generano errori se vengono usate API correlate alla CAS. Gli sviluppatori devono cercare mezzi alternativi per eseguire attività di sicurezza.

Attributi di protezione host

Gli attributi di protezione dell'host identificano i tipi o membri non idonei per il modello di programmazione dell'host e che rappresentano i seguenti livelli crescenti di minaccia per l'affidabilità:

  • Sono altrimenti innocui.

  • Possono determinare la destabilizzazione del codice utente gestito dal server.

  • Possono determinare la destabilizzazione del processo del server stesso.

SQL Server non consente l'uso di un tipo o membro con HostProtectionAttribute che specifica un valore HostProtectionResource uguale a SharedState, Synchronization, MayLeakOnAbort o ExternalProcessMgmt. In questo modo si impedisce agli assembly di chiamare membri che consentono la condivisione dello stato, eseguono sincronizzazioni, possono causare perdite di risorse al momento della terminazione o compromettono l'integrità del processo di SQL Server.

Tipi e membri non consentiti

La tabella seguente identifica i tipi e membri i cui valori HostProtectionResource non sono consentiti da SQL Server.

Spazio dei nomi Tipo o membro
Microsoft.Win32 Classe PowerModeChangedEventArgs

DelegatoPowerModeChangedEventHandler

Classe SessionEndedEventArgs

DelegatoSessionEndedEventHandler

Classe SessionEndingEventArgs

DelegatoSessionEndingEventHandler

Classe SessionSwitchEventArgs

DelegatoSessionSwitchEventHandler

Classe SystemEvents

Classe TimerElapsedEventArgs

DelegatoTimerElapsedEventHandler

Classe UserPreferenceChangedEventArgs

Classe UserPreferenceChangingEventArgs
System.Collections Metodo ArrayList.Synchronized

Metodo Hashtable.Synchronized

Metodo Queue.Synchronized

Metodo SortedList.Synchronized

Metodo Stack.Synchronized
System.ComponentModel Classe AddingNewEventArgs

DelegatoAddingNewEventHandler

Classe ArrayConverter

Classe AsyncCompletedEventArgs

DelegatoAsyncCompletedEventHandler

Classe AsyncOperation

Classe AsyncOperationManager

Classe AttributeCollection

Classe BackgroundWorker

Classe BaseNumberConverter

Classe BindingList<T>

Classe BooleanConverter

Classe ByteConverter

Classe CancelEventArgs

DelegatoCancelEventHandler

Classe CharConverter

Classe CollectionChangeEventArgs

DelegatoCollectionChangeEventHandler

Classe CollectionConverter

Classe ComponentCollection

Classe ComponentConverter

Classe ComponentEditor

Classe ComponentResourceManager

Classe Container

Classe ContainerFilterService

Classe CultureInfoConverter

Classe CustomTypeDescriptor

Classe DateTimeConverter

Classe DecimalConverter

Classe ActiveDesignerEventArgs

DelegatoActiveDesignerEventHandler

Classe CheckoutException

Classe CommandID

Classe ComponentChangedEventArgs

DelegatoComponentChangedEventHandler

Classe ComponentChangingEventArgs

DelegatoComponentChangingEventHandler

Classe ComponentEventArgs

DelegatoComponentEventHandler

Classe ComponentRenameEventArgs

DelegatoComponentRenameEventHandler

Classe DesignerCollection

Classe DesignerEventArgs

DelegatoDesignerEventHandler

Classe DesignerOptionService

Classe DesignerTransaction

Classe DesignerTransactionCloseEventArgs

DelegatoDesignerTransactionCloseEventHandler

Classe DesignerVerb

Classe DesignerVerbCollection

Classe DesigntimeLicenseContext

Classe DesigntimeLicenseContextSerializer

Classe MenuCommand

Classe ComponentSerializationService

Classe ContextStack

Classe DesignerLoader

Classe InstanceDescriptor

Classe MemberRelationshipService

Classe ResolveNameEventArgs

DelegatoResolveNameEventHandler

Classe SerializationStore

Classe ServiceContainer

DelegatoServiceCreatorCallback

Classe StandardCommands

Classe StandardToolWindows

Classe DoubleConverter

Classe DoWorkEventArgs

DelegatoDoWorkEventHandler

Classe EnumConverter

Classe EventDescriptor

Classe EventDescriptorCollection

Classe EventHandlerList

Classe ExpandableObjectConverter

Classe HandledEventArgs

DelegatoHandledEventHandler

Classe InstanceCreationEditor

Classe Int16Converter

Classe Int32Converter

Classe Int64Converter

Classe InvalidAsynchronousStateException

Classe InvalidEnumArgumentException

Metodo BeginInvoke

Classe License

Classe LicenseContext

Classe LicenseException

Classe LicenseManager

Classe LicenseProvider

Classe LicFileLicenseProvider

Classe ListChangedEventArgs

DelegatoListChangedEventHandler

Classe ListSortDescription

Classe ListSortDescriptionCollection

Classe MaskedTextProvider

Classe MemberDescriptor

Classe MultilineStringConverter

Classe NestedContainer

Classe NullableConverter

Classe ProgressChangedEventArgs

DelegatoProgressChangedEventHandler

Classe PropertyChangedEventArgs

DelegatoPropertyChangedEventHandler

Classe PropertyDescriptor

Classe PropertyDescriptorCollection

Classe ReferenceConverter

Classe RefreshEventArgs

DelegatoRefreshEventHandler

Classe RunWorkerCompletedEventArgs

DelegatoRunWorkerCompletedEventHandler

Classe SByteConverter

Classe SingleConverter

Classe StringConverter

Classe SyntaxCheck

Classe TimeSpanConverter

Classe TypeConverter

Classe TypeDescriptionProvider

Classe TypeDescriptor

Classe TypeListConverter

Classe UInt16Converter

Classe UInt32Converter

Classe UInt64Converter

Classe WarningException

Classe Win32Exception
System.Diagnostics Proprietà Debug.Listeners

Proprietà Trace.Listeners

Proprietà EventLog.SynchronizingObject

Classe ConsoleTraceListener

Classe DefaultTraceListener

Classe DelimitedListTraceListener

Classe EventLogTraceListener

Classe PerformanceCounter

Classe PerformanceCounterCategory

Classe Process

Classe ProcessStartInfo

Classe TextWriterTraceListener

Classe TraceListener

Classe XmlWriterTraceListener

Proprietà TraceSource.Listeners
System.IO Metodo Stream.Synchronized

Metodo TextReader.Synchronized

Metodo TextWriter.Synchronized
System.Reflection.Emit Classe ConstructorBuilder

Classe EventBuilder

Classe FieldBuilder

Classe MethodBuilder

Classe CustomAttributeBuilder

Classe MethodRental

Classe ModuleBuilder

Classe PropertyBuilder

Classe TypeBuilder

Classe UnmanagedMarshal
System.Text Metodo Group.Synchronized

Metodo Match.Synchronized
System.Threading Classe AutoResetEvent

Classe EventWaitHandle

Classe ManualResetEvent

Classe Monitor

Classe Mutex

Classe ReaderWriterLock

Classe Semaphore

Metodo Thread.AllocateNamedDataSlot

Metodo Thread.BeginCriticalRegion

Metodo Thread.EndCriticalRegion

Metodo Thread.FreeNamedDataSlot

Metodo Thread.GetData

Metodo Thread.Join

Metodo Thread.SetApartmentState

Metodo Thread.SetData

Metodo Thread.SpinWait

Metodo Thread.Start

Metodo Thread.TrySetApartmentState

Classe ThreadPool

Classe Timer
System.Timers Classe Timer
System.Web.Configuration Classe MachineKeyValidationConverter
System.Windows.Forms Proprietà AutoCompleteStringCollection.SyncRoot

Set di autorizzazioni di SQL Server

SQL Server consente agli utenti di specificare i requisiti di affidabilità per il codice distribuito in un database. Al caricamento degli assembly nel database, l'autore dell'assembly può specificare uno di tre set di autorizzazioni per tale assembly: SAFE, EXTERNAL-ACCESS o UNSAFE.

Set di autorizzazioni SAFE EXTERNAL-ACCESS UNSAFE
Sicurezza dall'accesso di codice Sola esecuzione Esecuzione più accesso a risorse esterne Senza restrizioni
Restrizioni del modello di programmazione Nessuna restrizione
Requisito di verificabilità No
Possibilità di chiamare il codice nativo No No

Grazie alle restrizioni associate in termini di modello di programmazione consentito, SAFE rappresenta la modalità più affidabile e protetta. Il codice SAFE dispone di funzionalità di sicurezza e affidabilità elevata. Gli assembly SAFE dispongono di autorizzazioni sufficienti per l'esecuzione, l'elaborazione di calcoli e l'accesso al database locale. Gli assembly SAFE devono essere effettivamente indipendenti dai tipi e non possono chiamare codice non gestito.

Il livello EXTERNAL-ACCESS rappresenta un'opzione di sicurezza intermedia, consentendo al codice di accedere alle risorse esterne al database, ma comunque con l'affidabilità e la protezione del livello SAFE.

UNSAFE è un set di autorizzazioni per codice altamente attendibile, che può essere creato solo dagli amministratori di database. Questo codice attendibile non presenta alcuna restrizione di accesso di codice e può chiamare codice non gestito (nativo).

SQL Server usa il livello dei criteri di sicurezza dall'accesso di codice a livello dell'host per configurare criteri host che concedono uno dei tre set di autorizzazioni in base al set di autorizzazioni archiviato nei cataloghi di SQL Server. Il codice gestito in esecuzione all'interno del database ottiene sempre uno di questi set di autorizzazioni di accesso per il codice.

Restrizioni del modello di programmazione

Il modello di programmazione per il codice gestito in SQL Server richiede funzioni, procedure e tipi che non richiedono l'uso dello stato mantenuto tra più chiamate né la condivisione dello stato tra più sessioni utente. Come descritto in precedenza, la presenza dello stato condiviso può inoltre determinare eccezioni critiche che influiscono sulla scalabilità e l'affidabilità dell'applicazione.

Considerati questi aspetti, SQL Server non consente l'uso di variabili statiche e membri dati statici. Per gli assembly SAFE ed EXTERNAL-ACCESS, SQL Server esamina i metadati dell'assembly nella fase CREATE ASSEMBLY e la creazione di tali assembly ha esito negativo se viene rilevato l'uso di membri dati e variabili statici.

Vedi anche