剖析SQL Server2005 SQLCLR代码安全性

核心提示： · 含糊的安全问题，其中大多数与当前正在出现的攻击问题相关；但是，剖析SQL Server2005 SQLCLR代码安全性(2)，显然，对有哪些新内容还不理解更为关注，包括下面这些内容：· 程序集，作为打包、发布和版本管理的单元· .NET代码存取

· 含糊的安全问题。其中大多数与当前正在出现的攻击问题相关；但是，显然，对有哪些新内容还不理解更为关注。

· 需要学习一种全新的技能来评定是否代码是安全的。

· 在数据和代码之间存在很多的模糊性，特别是对于使用.NET代码创建用户定义的类型这种新的能力。

· 还有另一种方式能够实现代码与服务器的"混合"，尽管OLE自动化（SP_OS*）和命令外壳系统(xp_cmdshell)存储过程一直可用来让人们运行外部代码。

事实上，在SQL Server 2005中的.NET框架代码，经常被称作是SQLCLR代码，因为它是基于.NET通用语言运行时刻库（CLR）。其实，它仅仅是另一种存在和运行于SQL Server内部的代码模块而已。它是新东西，而且很酷，但是也仍只是代码；但决不是T-SQL（仍然是首选的数据存取编码实现方式）的插件代替品；而是，SQLCLR代码为复杂的数据库应用程序开创了全新的可能性。迟早大多数的DBA都会使用它并且将不得不做出最后的决定-是否让它驻于数据库中。

在本文中，我将探讨人们对于SQLCLR代码最关心的一个问题之一：其安全性如何？实际上，我将故意模糊两种重要概念-安全性和可靠性。安全性意味着保持数据的安全，而可靠性意味着保持SQL Server的安全；可靠性经常被与安全性相混淆。因此，尽管我主要讨论安全问题，但是我还要涉及到一定的可靠性问题。

我将假定，你熟悉在SQL Server 2005编写.NET代码的优点和基本知识。概括来说，包括下面这些内容：

· 程序集，作为打包、发布和版本管理的单元

· .NET代码存取安全基础

· SQL Server 2005的新的安全特征

换句话说，本文并不是一篇有关于SQLCLR代码的入门性文章。