Обеспечение безопасного подключения к базе данных попротоколу HTTP
Сервер SQL Server 2000 позволяет обратиться к данным с веб-узлов при помощи нескольких различных механизмов, каждый из которых опирается на имеющуюся в системе библиотеку ISAPI.DLL. Эта библиотека позволяет пользователям определять виртуальные корни в информационных службах Интернета (Microsoft Internet Information Services, IIS), соответствующие данному экземпляру SQL Server 2000. При этом URL-адрес можно использовать для следующих целей.
· Непосредственное выполнение SQL-запросов. URL-запросы имеют вид: http://server/vroot?sql=“…” По таким URL-запросам веб-приложения могут составить строки с URL-адресом, которые ссылаются на виртуальный корень SQL Server 2000 и содержат оператор языка Transact-SQL. Оператор языка Transact-SQL отправляется на экземпляр сервера SQL Server 2000, соответствующий данному виртуальному корню, а результат возвращается в виде стандартного набора строк. Если указано предложение FOR XML, то вместо набора строк возвращается XML-документ. Поддерживаются запросы по отдельным строкам и столбцам.
· Непосредственный доступ к объектам базы данных, например, к таблицам. Непосредственные запросы имеют вид: http://server/vroot/dbobject/xpath Непосредственные запросы по протоколу HTTP возвращают данные не в формате XML, благодаря чему можно выполнять прямое извлечение из базы данных таких объектов, как изображения. В этом случае необходимо использование синтаксиса XPath, в котором таблицы (и представления) воспринимаются в качестве элементов, а столбцы – в качестве атрибутов.
· Выполнение файла шаблона. Запросы с использованием шаблонов имеют вид: http://server/vroot/vname?params
и непосредственно ссылаются на файл шаблона, который является допустимым XML-документом, состоящим из одного или нескольких операторов SQL. При указании в URL-адресе файла шаблона выполняются содержащиеся в нем команды SQL. Запросы замещаются соответствующими результатами, и весь XML-документ возвращается инициатору запроса.
· Выполнение запросов XPath по XML-представлению. Запросы XPath по XML-представлениям имеют вид: http://server/vroot/vname/xpath?params Запросы XPath обращаются к определенным данным реляционных таблиц с помощью XML-представления (аннотированной схемы), которое отображает XML-данные в таблицы реляционной базы данных.
 |
При использовании всех этих средств уровни безопасности устанавливаются для каждого виртуального корня, а разрешения на доступ устанавливаются на сервере SQL Server. Библиотека ISAPI.DLL имеет три встроенных варианта проверки подлинности:
· анонимный доступ с именем пользователя и паролем, установленными в операционной системе Windows или на сервере SQL Server непосредственно для доступа к виртуальному корню и используемыми всеми пользователями;
· обычная проверка подлинности путем передачи открытым текстом имени пользователя и пароля для доступа к серверу SQL Server (должна использоваться вместе с протоколом SSL);
· интегрированная проверка с использованием таблиц ACL операционной системы Windows.
