-- ПОГАНО: Всі користувачі можуть бачити зарплати
GRANT SELECT ON HR.Salaries TO PUBLIC;

-- ДОБРЕ: Тільки HR-менеджери можуть бачити зарплати
GRANT SELECT ON HR.Salaries TO HR_Managers;
DENY SELECT ON HR.Salaries TO ALL_Employees;

-- ПОГАНО: Будь-хто може змінювати фінансові дані
GRANT UPDATE, DELETE ON Finance.Transactions TO PUBLIC;

-- ДОБРЕ: Тільки система може вставляти, а зміни та видалення заборонені
GRANT INSERT ON Finance.Transactions TO FinanceApp;
DENY UPDATE, DELETE ON Finance.Transactions TO FinanceApp;

-- Ще краще: Використовуйте тригер для аудиту
CREATE TRIGGER trg_AuditTransactions
ON Finance.Transactions
FOR UPDATE, DELETE
AS
BEGIN
    RAISERROR('Modification of transactions is not allowed', 16, 1);
    ROLLBACK;
END;

// ДУЖЕ НЕБЕЗПЕЧНО! Ніколи так не робіть!
string query = "SELECT * FROM Users WHERE Username = '" + username + "' AND Password = '" + password + "'";
SqlCommand cmd = new SqlCommand(query, connection);
SqlDataReader reader = cmd.ExecuteReader();

Username: admin' --
Password: (будь-що)

SELECT * FROM Users WHERE Username = 'admin' --' AND Password = ''
-- Частина після -- є коментарем і ігнорується!

// БЕЗПЕЧНО: Використовуємо параметризовані запити
string query = "SELECT * FROM Users WHERE Username = @username AND Password = @password";
SqlCommand cmd = new SqlCommand(query, connection);
cmd.Parameters.AddWithValue("@username", username);
cmd.Parameters.AddWithValue("@password", password);
SqlDataReader reader = cmd.ExecuteReader();

-- Уразлива конфігурація:
-- Користувач має роль db_securityadmin
EXEC sp_addrolemember 'db_securityadmin', 'RegularUser';

-- Тепер RegularUser може надати собі роль db_owner!
-- (виконано як RegularUser)
EXEC sp_addrolemember 'db_owner', 'RegularUser';

-- Тепер він має повний контроль над БД

-- Атакуючий намагається підібрати пароль
DECLARE @attempt INT = 1;
WHILE @attempt <= 10000
BEGIN
    -- Спроба входу з різними паролями
    EXEC sp_TryLogin 'admin', CONCAT('Password', @attempt);
    SET @attempt = @attempt + 1;
END

-- Увімкнути політику паролів
ALTER LOGIN [AppUser] 
WITH CHECK_POLICY = ON, CHECK_EXPIRATION = ON;

-- Створити LOGON тригер для обмеження спроб
CREATE TRIGGER trg_LimitLoginAttempts
ON ALL SERVER
FOR LOGON
AS
BEGIN
    -- Перевірка кількості невдалих спроб за останні 15 хвилин
    DECLARE @LoginName NVARCHAR(128) = ORIGINAL_LOGIN();
    DECLARE @FailedAttempts INT;
    
    SELECT @FailedAttempts = COUNT(*)
    FROM SecurityDB.dbo.FailedLogins
    WHERE LoginName = @LoginName
      AND AttemptTime > DATEADD(MINUTE, -15, GETDATE());
    
    IF @FailedAttempts >= 5
    BEGIN
        ROLLBACK;
        RAISERROR('Too many failed login attempts. Account temporarily locked.', 16, 1);
    END
END;

-- 1. Аудит всіх дій адміністраторів
CREATE SERVER AUDIT AdminAudit
TO FILE (FILEPATH = 'D:\Audit\');

ALTER SERVER AUDIT AdminAudit WITH (STATE = ON);

CREATE SERVER AUDIT SPECIFICATION AdminActions
FOR SERVER AUDIT AdminAudit
ADD (DATABASE_OBJECT_ACCESS_GROUP),
ADD (DATABASE_OBJECT_CHANGE_GROUP),
ADD (DATABASE_PERMISSION_CHANGE_GROUP);

ALTER SERVER AUDIT SPECIFICATION AdminActions WITH (STATE = ON);

-- 2. Separation of Duties
-- DBA не повинен мати доступ до продакшн даних
DENY SELECT, INSERT, UPDATE, DELETE ON SCHEMA::Sales TO DBA_Role;

-- 3. Використовувати Dynamic Data Masking для чутливих даних
ALTER TABLE Customers
ALTER COLUMN Email ADD MASKED WITH (FUNCTION = 'email()');

ALTER TABLE Customers
ALTER COLUMN CreditCard ADD MASKED WITH (FUNCTION = 'partial(0,"XXXX-XXXX-XXXX-",4)');

-- 1. Регулярні backup з перевіркою можливості відновлення
BACKUP DATABASE ProductionDB
TO DISK = 'D:\Backup\ProductionDB_Full.bak'
WITH COMPRESSION, CHECKSUM, INIT;

-- 2. Захист backup-файлів
-- Зберігати offline або в immutable storage

-- 3. Тестувати процедуру відновлення
RESTORE VERIFYONLY
FROM DISK = 'D:\Backup\ProductionDB_Full.bak';

-- Створення логіна
CREATE LOGIN [AppUser] WITH PASSWORD = 'SecureP@ss123';

-- Додавання до серверної ролі
ALTER SERVER ROLE dbcreator ADD MEMBER [AppUser];

-- Надання специфічного права
GRANT VIEW SERVER STATE TO [AppUser];

-- Створення користувача в БД
USE SalesDB;
CREATE USER [AppUser] FOR LOGIN [AppUser];

-- Додавання до ролі БД
ALTER ROLE db_datareader ADD MEMBER [AppUser];

-- Надання конкретних прав
GRANT EXECUTE ON SCHEMA::dbo TO [AppUser];
GRANT SELECT, INSERT ON Sales.Orders TO [AppUser];

-- 1. Забезпечення права на видалення
CREATE PROCEDURE usp_DeleteUserData
    @UserID INT
AS
BEGIN
    BEGIN TRANSACTION;
    
    DELETE FROM UserProfiles WHERE UserID = @UserID;
    DELETE FROM UserOrders WHERE UserID = @UserID;
    DELETE FROM UserPreferences WHERE UserID = @UserID;
    
    -- Логування видалення для compliance
    INSERT INTO GDPR_DeletionLog (UserID, DeletedAt, DeletedBy)
    VALUES (@UserID, GETDATE(), SUSER_NAME());
    
    COMMIT TRANSACTION;
END;

-- 2. Аудит доступу до персональних даних
CREATE SERVER AUDIT GDPR_Audit
TO FILE (FILEPATH = 'D:\Audit\GDPR\');

ALTER SERVER AUDIT GDPR_Audit WITH (STATE = ON);

-- Шифрування чутливих медичних даних
CREATE TABLE Patients (
    PatientID INT PRIMARY KEY,
    Name NVARCHAR(100),
    SSN NVARCHAR(11) ENCRYPTED WITH (
        ENCRYPTION_TYPE = DETERMINISTIC,
        ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256',
        COLUMN_ENCRYPTION_KEY = PatientDataKey
    ),
    Diagnosis NVARCHAR(MAX) ENCRYPTED WITH (
        ENCRYPTION_TYPE = RANDOMIZED,
        ALGORITHM = 'AEAD_AES_256_CBC_HMAC_SHA_256',
        COLUMN_ENCRYPTION_KEY = PatientDataKey
    )
);

-- Маскування номерів карток
CREATE TABLE CreditCards (
    CardID INT PRIMARY KEY,
    CardholderName NVARCHAR(100),
    CardNumber NVARCHAR(16) MASKED WITH (FUNCTION = 'partial(0,"XXXX-XXXX-XXXX-",4)'),
    CVV NVARCHAR(3) MASKED WITH (FUNCTION = 'default()')
);

-- Тільки privileged users можуть бачити повні номери
GRANT UNMASK TO CardProcessingApp;