Cita:
Iniciado por mastercafe 
Sobre el tema de SQL yo siempre uso un DBO para trabajar internamente, cambiar datos, estructura, tablas, etc...
Pero en cuanto a la web el usuario está limitado a solo db_datareader y db_datawriter de esa forma no tiene permisos para ejecutar procedimientos almacenados.
Dentro de la web me surgio un problema en algun modulo que usaba procedimientos almacenados, he optado por cambiar el codigo y reconstruir ese proceso para ejecutarlo por ajax contra un asp oculto que no hay forma de localizar en un posible ataque y alli mando que proced. necesito ejecutar.
Sobre el apartado de tienes claro (el filtro) recuerda que lo más importante es que esté siempre antes de procesar cualquier otra linea de la web, asi evitas hacer un open si viene codigo maligno.
Yo tambien uso el dbo para usos internos , y otro usuario para la web, una vez intente darle los permisos datareader y datawriter pero me saltaban errores por todos lados.
ahora te quisiera hacer una pregunta, yo tengo el usuario web sql que en la pertes de permission en la solapa de propiedades del usuario, y ahi tenes todas tus tablas y se puede seleccionar que puede hacer el usuario en cada tabla, tipo uptade , insert, delete, etc. debere seleccionar los permisos adecuados para cada tabla par que el usuario funcione bien en caso de asignarle los permisos datareader y datawriter ?? porque sino no me conviene ya que me tira un monton de errores.