这个需求其实很典型——既要通过存储过程管控应用的数据操作、保障完整性，又要给自己留足直接操作的灵活性。核心思路就是用不同的账号区分访问来源，结合SQL Server的权限体系来精准控制，下面是具体的实现步骤：

1. 给应用创建专用的受限登录 #

首先，别让应用和你用同一个账号！给应用单独建一个登录名和数据库用户：

CREATE LOGIN AppServiceUser WITH PASSWORD = 'YourSuperStrongPasswordHere!';
CREATE USER AppServiceUser FOR LOGIN AppServiceUser;

这个账号专门给应用程序用，我们接下来会严格限制它的权限。

2. 只给应用账号授予存储过程执行权限 #

默认新建的用户没有任何对象权限，我们只开放执行存储过程的权限，绝不允许它直接操作表/视图：

-- 授予该用户执行所有存储过程的权限（如果是特定存储过程，替换成具体名称即可）
GRANT EXECUTE TO AppServiceUser;

这里要提个关键的知识点：所有权链。如果你的存储过程和它访问的表/视图属于同一个所有者（比如都是dbo），那么这个应用账号只需要有存储过程的执行权限，就能自动访问内部的表，不需要单独给表授权——完美契合你的需求：只能通过存储过程操作数据，不能直接查改。

3. 确保你的个人账号不受限制 #

你自己用的登录账号（比如管理员账号或者你日常用的SSMS账号），保持原有的高权限就行——比如拥有db_owner角色，或者直接授予CONTROL权限，这样你在SSMS/ADS里想怎么查怎么改都没问题，完全不受限制。

4. 可选：加个触发器做兜底（防止权限误配） #

如果怕哪天不小心给应用账号开了不该有的权限，或者有人想绕过存储过程操作，可以整个数据库级的DML触发器来拦截违规操作：

CREATE TRIGGER BlockDirectTableOperations
ON DATABASE
FOR SELECT, INSERT, UPDATE, DELETE
AS
BEGIN
    SET NOCOUNT ON;
    -- 检查当前操作是否来自存储过程调用
    IF OBJECT_NAME(@@PROCID) IS NULL
    BEGIN
        -- 如果是应用账号直接操作表，就抛出错误并回滚
        IF USER_NAME() = 'AppServiceUser'
        BEGIN
            RAISERROR('仅允许通过存储过程执行数据操作，请联系管理员', 16, 1);
            ROLLBACK TRANSACTION;
        END
    END
END;

这个触发器会在每次执行DML操作时检查，如果是应用账号直接碰表（不是通过存储过程），直接给它拦回去。

一些额外的注意点 #

• 绝对不要给应用账号授予db_datareader、db_datawriter这类角色，不然直接操作表的权限就开了，等于白做前面的限制。
• 如果应用确实需要少数直接查询的场景，别直接开表权限，而是把这些查询封装成存储过程，或者单独给特定视图的查询权限。
• 定期审计权限，用sp_helprotect或者SSMS的权限查看功能，确保应用账号的权限没被误改。

内容的提问来源于stack exchange，提问作者avivgood2