设置数据库为只读:
你可以设置数据库为只读,这样就禁止对整个数据库的DDL/DML操作。可以使用以下语句:
| USE [master] GO ALTER DATABASE [MyDB] SET READ_ONLY WITH NO_WAIT GO |
把表放到只读文件组:
可以在一个只读文件组中创建一个表:
| USE [master] GO ALTER DATABASE [MyDB] ADD FILEGROUP [READ_ONLY_TBLS] GO ALTER DATABASE [MyDB] ADD FILE ( NAME = N'mydb_readonly_tables', FILENAME = N'C:\JSPACE\myDBReadOnly.ndf' , SIZE = 2048KB , FILEGROWTH = 1024KB ) TO FILEGROUP [READ_ONLY_TBLS] GO DROP table tblEvents create table tblEvents ( id int, logEvent varchar(1000) ) ON [READ_ONLY_TBLS] ALTER DATABASE [MyDB] MODIFY FILEGROUP [READ_ONLY_TBLS] READONLY 任何对表的DML操作都会被拒绝,并返回以下错误信息: Msg 652, Level 16, State 1, Line 1 The index "" for table "dbo.tblEvents" (RowsetId 72057594038845440) resides on a read-only filegroup ("READ_ONLY_TBLS"), which cannot be modified. |
拒绝对象级别权限
可以通过DCL命令控制用户权限,但此步无法限制高级权限用户(如system admin,DatabaseOwner):
| DENY INSERT, UPDATE, DELETE ON tblEvents TO Jugal DENY INSERT, UPDATE, DELETE ON tblEvents TO Public |
创建视图
为了替代直接访问表,可以使用视图:
| create view vwtblEvents as select ID, Logevent from tblEvents union all select 0, '0' where 1=0 |
在这个视图中,使用了UNION,只有在你确保有对应数量的列时才使用。在这个例子中,表有两列,所以使用两个输出列。同时,你也应该确保数据类型也一致。
当一个用户尝试通过INSERT/UPDATE/DELETE操作数据时,将得到以下错误信息:
Msg 4406, Level 16, State 1, Line 1Update or insert of view or function 'vwtblEvents1' failed because it contains a derived or constant field.Msg 4426, Level 16, State 1, Line 1View'vwtblEvents1' is not updatable because the definition contains a UNIONoperator.
最后一步:
确认是否有必要用这些步骤来设置表为只读。
如果一个表总是只读,那么你应该放到只读文件组中。
