핵심 SQLXML 보안 고려 사항
적용 대상: SQL Server Azure SQL Database
다음은 데이터 액세스를 위해 SQLXML을 사용하기 위한 보안 지침입니다.
SQLXMLOLEDB 공급자는 각 특정 인스턴스에 대해 사용하거나 사용하지 않도록 설정해야 하는 SQLXML 기능을 나타내는 플래그를 설정할 수 있는 StreamFlags 속성을 노출합니다. 이 속성을 사용하여 SQLXML 사용을 사용자 지정하고 원하는 구성 요소만 사용되도록 설정할 수 있습니다. 자세한 내용은 SQLXMLOLEDB 공급자(SQLXML 4.0)를 참조하세요.
SQLXML 오류가 발생하고 반환되면 테이블 이름, 열 이름 또는 형식 정보와 같은 데이터베이스 스키마에 대한 정보를 포함할 수 있습니다. SQL Server 설치에 대한 정보가 의도되거나 필요하지 않은 사용자가 쉽게 검색할 수 없도록 이러한 오류를 처리할 때는 주의해야 합니다.
SQL Server에 대한 업데이트를 쿼리하거나 보내는 데 사용되는 경우 SQLXML은 교환할 수 있는 데이터 양에 대한 제한을 설정하지 않으며 SQLXML 페이로드의 데이터 크기를 확인하지 않고 처리하려고 시도합니다. SQLXML을 사용하여 애플리케이션을 개발하는 경우 시스템에 데이터를 처리할 충분한 메모리가 있는지 확인해야 합니다. 예를 들어 서버에서 데이터를 쿼리할 때 클라이언트에서 데이터를 받을 수 있는 충분한 메모리 공간이 있는지 확인해야 합니다. 마찬가지로, 서버에 데이터를 로드하는 경우 서버에 데이터를 처리할 수 있는 메모리가 충분하고 서버에 데이터를 저장할 수 있는 디스크 스토리지 공간이 충분한지 확인해야 합니다.
SQLXML은 Transact-SQL 쿼리 및 업데이트 명령을 동적으로 생성하고 실행을 위해 SQL Server로 보냅니다. SQLXML이 서버를 쿼리하고 업데이트하는 유일한 방법입니다. 결과는 스트림(XML) 또는 행 집합으로 수신됩니다.
쿼리 결과를 받을 때 SQLXML은 수신하는 데이터의 내용에 따라 아무 작업도 수행하지 않습니다. 데이터 형식이나 내용을 기반으로 추가 처리가 수행되지 않습니다. 데이터는 작업을 실행할 코드로 처리되지 않습니다.
XML 템플릿을 실행할 때 SQLXML은 제출된 템플릿에 포함된 XPath 및 DBObject 쿼리를 SQL Server에 대해 실행되는 Transact-SQL 명령으로 변환합니다. 이러한 명령은 기존 데이터에만 영향을 줍니다. SQLXML에서 생성된 명령은 데이터베이스 구조를 변경하지 않습니다. 사용자는 데이터베이스 구조를 변경하려면 명시적 명령을 실행해야 합니다. 예를 들어 템플릿의 sql:query 블록에 포함할 수 있습니다.
매핑 파일에 대해 DBObject 쿼리 및 XPath 문을 실행할 때 SQLXML은 데이터베이스의 데이터를 어떤 방식으로든 변경하지 않습니다.
SQLXML은 XML과 SQL Server 데이터 모델 간의 차이점에 따라 지정된 데이터의 서식을 변경할 수 있습니다. 예를 들어 시간을 지정하는 형식은 다릅니다. SQLXML에서 이러한 차이를 해결하려고 합니다. 따라서 일부 정밀도 정보가 손실될 수 있습니다.
SQLXML은 데이터를 처리하는 데 걸리는 시간에 제한을 설정하지 않습니다. 오류가 발생하거나 처리가 완료될 때까지 처리 작업이 계속됩니다.
SQLXML은 파일 시스템에 쓰지 않습니다. 사용자가 데이터베이스에서 검색한 데이터를 저장하려는 경우 코드에서 이 작업을 수행해야 합니다.
SQLXML을 통해 사용자는 원하는 모든 SQL 쿼리를 데이터베이스에 대해 실행할 수 있습니다. 기본적으로 사용자에게 프로비전하지 않고 SQL 데이터베이스를 열기 때문에 이 기능은 보안되지 않거나 제어되지 않는 원본에 노출되어서는 안 됩니다.
Updategram을 실행할 때 SQLXML은 updg:sync 블록을 SQL Server 인스턴스에 대한 DELETE, UPDATE 및 INSERT 명령으로 변환합니다. 이러한 명령은 기존 데이터에만 영향을 줍니다. SQLXML에서 생성된 명령은 데이터베이스를 변경하지 않습니다. 사용자는 데이터베이스 구조를 변경하려면 명시적 명령을 실행해야 합니다. 예를 들어 템플릿의 sql:query 블록에 포함할 수 있습니다.
DiffGrams를 실행할 때 SQLXML은 DiffGram을 SQL Server 인스턴스에 대한 DELETE, UPDATE 및 INSERT 명령으로 변환합니다. 이러한 명령은 기존 데이터에만 영향을 줍니다. SQLXML에서 생성된 명령은 데이터베이스를 변경하지 않습니다. 사용자는 데이터베이스 구조를 변경하려면 명시적 명령을 실행해야 합니다. 예를 들어 템플릿의 sql:query 블록에 포함할 수 있습니다.