数据生成器的安全性
更新:2007 年 11 月
数据生成计划和自定义数据生成器能够在团队环境中共享。在共享数据生成文件之前,必须考虑是否存在任何安全威胁。
数据生成器的安全性需要注意以下方面:
数据生成文件中包含架构信息。
数据生成计划容易受到数据绑定生成器查询中的任意 Transact-SQL (T-SQL) 插入的攻击。
自定义数据生成器中包含数据库连接信息
自定义数据生成器容易受到任意代码插入的攻击。
自定义数据生成器安装程序容易受到任意代码插入的攻击。
数据生成计划和架构信息
当您创建数据生成计划时,.dgen 文件中包含表的架构。数据库架构信息可能会被视为敏感的商业机密。当您共享 .dgen 文件时,与您共享该文件的人能够看到您的架构。
请只与受信任的源共享数据生成计划。
数据生成计划和恶意代码
当数据生成计划中包含数据绑定生成器时,您编写一个随数据生成计划一同运行的 T-SQL 查询。此操作会允许任意 T-SQL 从数据生成计划内部运行。
请务必从受信任的来源获取数据生成计划,并提醒最终用户不要运行接收自不受信任的来源的数据生成计划。
自定义数据生成器和连接信息
所有的自定义数据生成器都能够在运行时访问数据库连接字符串。恶意自定义生成器可能会公开连接字符串信息。
请务必从受信任的来源获取自定义数据生成器,并提醒最终用户不要使用接收自不受信任的来源的自定义数据生成器。
自定义数据生成器和恶意代码
自定义数据生成器是可以包含任意代码的类。在使用自定义数据生成器时,它将使用与活动用户相同的权限运行。这可能会导致在 FullTrust 模式下运行恶意代码。
请务必从受信任的来源获取自定义数据生成器,并提醒最终用户不要使用接收自不受信任的来源的自定义数据生成器。
自定义数据生成器安装程序和恶意代码
可以创建部署项目来安装自定义数据生成器。部署项目中可以包含任意代码。在运行自定义数据生成器的安装程序时,该安装程序将用提升特权运行。这可能会导致用提升特权运行恶意代码。
请务必从受信任的来源获取自定义数据生成器安装程序,并提醒最终用户不要运行接收自不受信任的来源的自定义数据生成器安装程序。