小弟使用ASP.NET 開發資料庫的Web 程式 資料庫採用SQL SERVER 2000 , 資料庫名稱為Sales ASP.NET 預設的使用者是ASPNET 在SQL SERVER 2000 我新增了一個ASPNET的登入, 並把Sals 設為ASPNET可存取的資料庫 在資料庫角色使用權限的選項有public, owner, accessadmin等等 請問資料庫角色使用權限要設為什麼 才能讓使用都透過Web 對Sales資料庫做存取, 又能雇及其他資料庫的安全呢?

不好意識，插個花: 小弟的一點淺見:是利用ASP.NET來構建Web，連接的過程應該是這樣的吧:IE--->Web(IIS5.0/IIS5.1/IIS6.0)--->SQL SERVER2000，可以在ASP.NET（C#）中寫入code來控制訪問者的許可權(對訪問者而言是通過IIS的解釋器來訪問後臺資料庫，中間的過程可以通過.Net提供的方法和屬性來進行控制).而原來C/S中因爲是Client直接連上Server的資料庫，所以必須要爲其分配許可權. 如果是設置角色許可權的話，新建一個訪問角色，在"資料庫訪問"頁面中選中"Sales"後，在下部勾選"public","db_owner","db_datareader"和"db_datawriter"就可以順利的對Sales資料庫進行讀寫操作了，並且不會隨便的訪問其他的資料庫。當然要防止別人利用SQL Server的漏洞來遠端灌入，您需要安裝相應的補丁(別忘了IIS的補丁也要打哦)，您還可以參考一下conundrum大大轉貼的這篇: http://delphi.ktop.com.tw/topic.php?TOPIC_ID=56531 而關於許可權設置的問題，還可以參考一下這幾篇，或許您會有收穫: http://www.cstc.net.cn/docs/docs.php?id=126 http://www.ddvip.net/database/mssql/index/95.htm http://dev.csdn.net/develop/article/19/19751.shtm http://dev.csdn.net/develop/article/19/19753.shtm http://www.sawin.com.cn/doc/SD/Database/dbpatterns.htm ================================= 人生在勤，不索何獲 業精於勤荒於嬉，行成於思毀於隨 臨淵羡魚不如退而結網

------
人生在勤，不索何获？

基本上弟的建議是只設定 datareader / datawrite , 由於應用程式 (不管是 web 或是 application) 應該都只會對 db 進行讀寫的行為, 但不會異動資料庫的 schema, 所以一般是不會設定為 owner, 以免自己寫程式的時候不小心, 或是被利用 sql injection 的方式, 對 db 的 schema 進行異動, 這樣可以避免掉一些危險!