做功能在sql server中有不同的权限规则吗？

Question

这是情况。我正在编写一个自动化测试，它遍历proc的依赖列表并确定acct是否拥有所有依赖对象的权限。

我的代码如下所示：

exec sp_depends 'the_proc_name' 

-- run this query on the results of sp_depends: 

select 
case       
when exists (         
select * 
from sys.database_permissions dp 
where grantee_principal_id=USER_ID('TheAccount')          
    and major_id=object_id('dbo.theDependentObject')          
    and minor_id=0 
    and state_desc = 'GRANT') 
then 'true' 
else 'false'         
end; 

这一切似乎是做工精细，但有当它遇到一个函数一个打嗝。我有一个案例，其中TheAccount没有权限（上述查询返回false）。但是，在TheAccount下运行时，调用该函数的proc运行正常。因此，我的测试代码可能有问题，或者函数在SQL-Server中有特殊权限行为，我不知道。

我应该将代码更改为仅搜索'DENY'而不是'GRANT'吗？在proc中调用的函数是否会继承调用过程的权限，除非执行权限被明确拒绝？我的代码太烂了吗？

Answer 1

从存储过程运行静态SQL时，存储过程以最后创建/修改存储过程的id的权限运行;而不是运行存储过程的人员的ID。

例如，这是一种相同的功能，允许您使用存储过程运行Insert语句，而无需在基础表上运行存储过程插入权限。

请注意 - 当您使用动态SQL（使用exec语句）时，这不适用。在这种情况下，运行存储过程的人员必须拥有该SQL语句的必要权限。

因此，我不确定您的单元测试是否会为您提供所需的内容，因为依赖对象的权利在某种程度上由SQL Server处理Stored Proc安全性的方式来处理。