目前情况是为了防御sql注入带来的危害,防止攻击通过合法查询将项目拖库,我拒绝了登录名在master库中的查询请求。这样就不能使用以下几个语句访问元数据: select * from master.sys.sysdatabases select * from sysobjects where xtype='U' select * from syscolumns 然后我发现没有任何一个权限可以不让用户在查询中调用系统函数,这样用户就可以通过以下三个函数将项目中所有的库、表、字段枚举出来 selec