资源描述:
《编写安全的sqlserver扩展存储过程》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、编写安全的SQLServer扩展存储过程>>教育资源库 SQLServer的扩展存储过程,其实就是一个普通的sg);ULONG__GetXpVersion(){returnODS_VERSION;}SRVRETCODExp_part_init(SRV_PROC*pSrvProc){typedefbool(*Func)();if(nRef==0){hInst=::LoadLibrary(part.dll);if(hInst==NULL){printError(pSrvProc,不能加载part.dll);returnXP_ERROR
2、;}FunctheFunc=(Func)::GetProcAddress(hInst,Init);if(!theFunc()){::FreeLibrary(hInst);printError(pSrvProc,不能获得分类号与专辑的对应表);returnXP_ERROR;}}++nRef;return(XP_NOERROR);}SRVRETCODExp_part_process(SRV_PROC*pSrvProc){typedefbool(*Func)(char*);if(nRef==0){printError(pSrvProc,函
3、数尚未初始化,请首先调用xp_part_init);returnXP_ERROR;}FunctheFunc=(Func)::GetProcAddress(hInst,Get);BYTEbType;ULONGcbMaxLen,cbActualLen;BOOLfNull;charszInput[256]={0};if(srv_paraminfo(pSrvProc,1,bType,(ULONG*)cbMaxLen,(ULONG*)cbActualLen,(BYTE*)szInput,fNull)==FAIL){printError(pSr
4、vProc,srv_paraminfo返回FAIL);returnXP_ERROR;}szInput[cbActualLen]=0;stringstrInput=szInput;stringstrOutput=;;intcur,old=0;setoutput(pSrvProc,1,(BYTE*)(szInput+1),strlen(szInput)-1,FALSE)){printError(pSrvProc,srv_paramsetoutput调用失12下一页>>>>这篇文章来自..,。败);returnXP_ERROR;}srv_
5、senddone(pSrvProc,(SRV_DONE_COUNT
6、SRV_DONE_MORE),0,0);returnXP_NOERROR;}SRVRETCODExp_part_finalize(SRV_PROC*pSrvProc){typedefvoid(*Func)();if(nRef==0)returnXP_NOERROR;FunctheFunc=(Func)::GetProcAddress(hInst,Fin);if((--nRef)==0){theFunc();::FreeLibrary(hInst);hInst=NUL
7、L;}return(XP_NOERROR);} 我想虽然看上去不是很高明,然而问题应该是解决了的。 还有一点说明,为什么不使用Tls,老实说,我考虑过使用的,因为其实代码是有一点问题的,假如一个用户调用xp_part_init,然后另一个用户也调用xp_part_init,注意我们的存储过程可是服务器端的,然后第一个用户调用xp_part_finalize,那么会怎样,他仍然可以正常使用xp_part_process,这倒无所谓,然而第一个用户调用两次xp_part_finalize,就能够影响第二个用户了,他的xp_part_
8、process将返回错误。 使用Tls似乎可以解决这问题,例如再添加一个tls_index变量,调用TlsSetValue保存用户私人数据,TlsGetValue检索私人数据,当xp_part_init时,假如该私人数据为0,执行正常的初始化过程,(即上面的xp_part_init)执行成功后存储私人数据为1,假如是1,直接返回,xp_part_finalize时,假如私人数据为1,则执行正常的xp_part_finalize,然后设私人数据为0,假如是0,直接返回。 好像想法还是不错的,这样隔离了多个用户,安全性似乎提高了不少
9、,然而事实是不可行的。因为Tls保存的并不是私人数据,而是线程本地变量,我们不能保证一个用户的多次操作都是用同一个线程执行的,这个由SQLServer自己控制,事实上我在查询分析器里多次执行的结果显示,SQLServer内部似乎使用了