SQL Server: лучший способ запретить пользователю sql доступ к старым данным

Question

При использовании SQL Server для некоторых пользователей это простой, но эффективный способ запрета доступа к данным старше определенной даты?

Мы можем сделать это на уровне приложения (веб-приложение), но это делает нас уязвимыми для таких сценариев, как взлом IIS или ошибки в нашем приложении. В идеале только определенные пользователи SQL должны иметь доступ к определенным данным старше пары месяцев. Как можно добиться этого с минимальными усилиями?

Если это имеет значение, наше приложение использует NHibernate.

Answer 1

Чистым решением SQL было бы создать что-то вроде: -

CREATE USERVIEW AS (SELECT * FROM REALTABLE WHERE CREATE_DATE > CURRENT_DATE() - 30 DAYS )

Не уверен, насколько хорошо это работает с Hibernate, и, конечно же, «CURRENT_DATE () - 30 ДНЕЙ» будет действителен только в DB2, вам понадобится функция дифференциала и синтаксис для каждой СУБД.

Answer 2

Надлежащим способом достижения этого является архивация старых данных с использованием механизмов бизнес-аналитики SQL Server , но это не является непосредственной задачей и требует определенного планирования (а эти механизмы недоступны младшие версии SQL Server).

Answer 3

Можете ли вы архивировать старые данные в таблицы с более ограниченными правами доступа?

Answer 4

SQL Server не обеспечивает безопасность на уровне строк. Это означает, что вы не можете предоставлять SELECT определенным строкам (новее, чем дата), в то время как запрещаете другим. Все GRANT / DENY / REVOKE работают на уровне всего стола.

Существуют некоторые предлагаемые обходные пути, такие как использование представлений, см. Предоставление разрешений на уровне строк в SQL Server , но они громоздки и сложны в использовании (особенно если данные также должны быть обновлены).

Лучше всего переместить данные в разные таблицы, если это возможно.