创建程序集
托管数据库对象(如存储过程或触发器)先经过编译,然后部署到称为程序集的单元中。 必须先在 SQL Server 中注册托管 DLL 程序集,然后才能使用程序集提供的功能。 若要在 SQL Server 数据库中注册程序集,请使用 CREATE ASSEMBLY 语句。 本主题讨论如何使用 CREATE ASSEMBLY 语句在数据库中注册程序集,以及如何为程序集指定安全设置。
CREATE ASSEMBLY 语句
CREATE ASSEMBLY 语句用于在数据库中创建程序集。 下面是一个示例:
CREATE ASSEMBLY SQLCLRTest
FROM 'C:\MyDBApp\SQLCLRTest.dll';
FROM 子句指定要创建的程序集的路径名。 此路径既可以是通用命名约定 (UNC) 路径,也可以是计算机本地的物理文件路径。
SQL Server 不允许使用相同的名称、区域性和公钥来注册程序集的不同版本。
可以创建引用其他程序集的程序集。 在 SQL Server中创建程序集时,如果引用的程序集尚未创建到数据库中,则还会创建根级程序集引用的程序集。
将向数据库用户或用户角色授予在数据库中创建进而拥有程序集的权限。 为了创建程序集,数据库用户或角色应具有 CREATE ASSEMBLY 权限。
仅当满足以下条件时,程序集才能成功地引用其他程序集:
所调用或被引用的程序集由同一个用户或角色所有。
所调用或被引用的程序集是在同一个数据库中创建的。
创建程序集时指定安全性
将程序集创建到 SQL Server 数据库中时,可以指定代码可在其中运行的三个不同安全级别之一:SAFE、 EXTERNAL_ACCESS或 UNSAFE。 当运行 CREATE ASSEMBLY 语句时,会对代码程序集执行某些检查,看看是否存在可能导致程序集无法在服务器上注册的问题。 有关详细信息,请参阅 CodePlex 上的模拟示例。
SAFE 是默认的权限集,适用于绝大多数应用场景。 若要指定给定的安全级别,您可以按如下所示修改 CREATE ASSEMBLY 语句的语法:
CREATE ASSEMBLY SQLCLRTest
FROM 'C:\MyDBApp\SQLCLRTest.dll'
WITH PERMISSION_SET = SAFE;
也可以通过只是省略上述代码的第三行,使用 SAFE 权限集创建程序集:
CREATE ASSEMBLY SQLCLRTest
FROM 'C:\MyDBApp\SQLCLRTest.dll';
当程序集中的代码在 SAFE 权限集下运行时,它只能通过进程中的托管提供程序在服务器内执行计算和数据访问。
创建 EXTERNAL_ACCESS 和 UNSAFE 程序集
EXTERNAL_ACCESS 适用于代码需要访问服务器之外的资源(如文件、网络、注册表和环境变量)的应用场景。 只要服务器访问外部资源,它就会模拟调用托管代码的用户的安全上下文。
UNSAFE 代码权限适用于程序集无法验证安全或需要对受限资源(例如 Microsoft Win32 API)进行额外访问的情况。
若要在 SQL Server 中创建 EXTERNAL_ACCESS 或 UNSAFE 程序集,必须满足以下两个条件之一:
程序集经过了强名称签名或使用证书进行了 Authenticode 签名。 此强名称 (或证书) 在SQL Server内创建为非对称密钥 (或证书) ,并且具有相应的登录名,具有
EXTERNAL ACCESS ASSEMBLY外部访问程序集的权限 () 或UNSAFE ASSEMBLY不安全程序集) 的权限 (。数据库所有者 (DBO) 具有
EXTERNAL ACCESS ASSEMBLY程序集 (EXTERNAL ACCESS) 或UNSAFE ASSEMBLY程序集)UNSAFE权限 (,并且数据库的 TRUSTWORTHY Database 属性 设置为ON。
在加载程序集(包括执行)时,也将检查上面所列的两个条件。 至少必须满足这些条件之一才能加载程序集。
建议不要将数据库中的 TRUSTWORTHY 数据库属性 设置为 ON 仅运行公共语言运行时 (CLR) 服务器进程中的代码。 而是建议在 master 数据库中通过程序集文件创建非对称密钥。 然后,必须创建映射到此非对称密钥的登录名,并且必须向此登录名授予 EXTERNAL ACCESS ASSEMBLY 或 UNSAFE ASSEMBLY 权限。
运行 CREATE ASSEMBLY 语句之前的以下 Transact-SQL 语句。
USE master;
GO
CREATE ASYMMETRIC KEY SQLCLRTestKey FROM EXECUTABLE FILE = 'C:\MyDBApp\SQLCLRTest.dll'
CREATE LOGIN SQLCLRTestLogin FROM ASYMMETRIC KEY SQLCLRTestKey
GRANT EXTERNAL ACCESS ASSEMBLY TO SQLCLRTestLogin;
GO
注意
必须创建新的登录名以与非对称密钥关联。 此登录名仅用于授予权限;不必与用户关联或在应用程序中使用。
若要创建 EXTERNAL ACCESS 程序集,创建者需要具有 EXTERNAL ACCESS 权限。 此权限在创建程序集时指定:
CREATE ASSEMBLY SQLCLRTest
FROM 'C:\MyDBApp\SQLCLRTest.dll'
WITH PERMISSION_SET = EXTERNAL_ACCESS;
运行 CREATE ASSEMBLY 语句之前的以下 Transact-SQL 语句。
USE master;
GO
CREATE ASYMMETRIC KEY SQLCLRTestKey FROM EXECUTABLE FILE = 'C:\MyDBApp\SQLCLRTest.dll';
CREATE LOGIN SQLCLRTestLogin FROM ASYMMETRIC KEY SQLCLRTestKey ;
GRANT UNSAFE ASSEMBLY TO SQLCLRTestLogin ;
GO
若要指定使用 UNSAFE 权限加载程序集,则当将程序集加载到服务器时,应指定 UNSAFE 权限集。
CREATE ASSEMBLY SQLCLRTest
FROM 'C:\MyDBApp\SQLCLRTest.dll'
WITH PERMISSION_SET = UNSAFE;
有关每个设置的权限的更多详细信息,请参阅 CLR Integration Security。
另请参阅
管理 CLR 集成程序集
改变程序集
删除程序集
CLR 集成代码访问安全性
TRUSTWORTHY 数据库属性
允许部分可信任的调用方