补充5_数据库安全性.pptVIP

例：为‘seu’登录授予固定服务器角色为‘sysadmin’,成功后再将其从该服务器角色删除，使其不再具有该角色权限。 sp_addsrvrolemember ‘seu,sysadmin‘ --此时用seu重新连接后，可执行SYSADMIN的所有功能。 Go Sp_dropsrvrolemember ‘seu’,’sysadmin’ Go --此时只有访问权限 数据库角色 数据库角色的作用域都只在其对应的数据库内，数据库角色分为固定数据库角色和自定数据库角色 （一）固定数据库角色 固定数据库角色的权限由系统固定，用户不能更改， 固定数据库角色 功能 Public 维护默认的许可 Db_owner 数据库属主，在特定数据库内具有全部权限 Db_accessadmin 能够添加、删除数据库用户和角色 Db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格 Db_ddladin 能够添加、删除和修改数据库对象 Db_backupoperator 能够备份和恢复数据库 Db_datareader 能够从任意表中读出数据 Db_datawriter 能够对任意表插入、修改和删除数据 Db_denydatareader 不允许从表中读数据 Db_denydatawriter 不允许改变表中的数据 其中PUBLIC角色是一个特殊的数据库角色，每位数据库用户都是该角色成员，主要负责维护数据库中用户的全部默认许可，不能将用户和组或角色指定为PUBLIC角色。 注： 数据库角色在数据库级别上被定义，存在于数据库之内，存储在每个数据库sysusers表中 固定角色不能被删除、修改和创建 固定数据库角色可指定给其他登录帐户。 将固定数据库角色指定给其他用户格式： sp_addrolemember ‘固定数据库角色名’,’用户名’ 将固定数据库角色指定给其他用户格式步骤： 将数据库切换到需要指定角色的目标数据库中； 为登录名在该数据库中添加用户； 为用户指定固定数据库角色。 例：为登录名seu分配固定数据库角色db_datareader 第一步：为登录名在数据库中授予用户 Sp_grantdbaccess ‘seu’,’abcd’ 第二步：为该用户分配固定数据库角色 Sp_addrolemember ‘db_datareader’,’abcd’ 将用户从固定数据库角色中删除： sp_droprolemember 固定数据库角色名,’用户名 （二）用户自定义数据库角色 自定义数据角色当打算为某些数据库用户设置相同的权限但预定义的数据库角色不能满足所实际要求的权限时，就通过自定义新数据库角色来满足这一要求，从而使这些用户能够在数据库中实现某一特定功能。 （1）特点： 在同一数据数据库中用户或具有多个不同的自定义角色，可任意组合，角色可以进行嵌套，从而实现不同级别的安全性 （2）分类： ①标准角色：通过对用户权限等级的认定而将用户划分为不同的用户组，使用户总是相对于一个或多个角色，从而实现管理的安全性。所有的预定义的数据库角色或SQL管理者自定义的某一角色都是标准角色。 ②应用角色：当想让某些用户只能通过特定的应用程序间接地存取数据库中的数据而不是直接地存取数据库数据时就应该考虑使用应用角色。当某一用户使用了应用角色时，它便放弃了已被赋予的所有数据库专有权限，它所拥有的只是应用角色设置的权限。通过应用角色，能以可控制方式来限定用户的语句或对象权限。 两者的区别： 应用角色不像标准角色那样具有组的含义，因此不能包含成员； 当用户在数据库中激活应用角色时，必须提供密码，而标准角色并不受口令保护。 应用程序角色默认设置为未激活状态，要由其他标准角色激活后才能使用。 用T-SQL语言创建、删除标准角色 1、创建标准角色： Sp_addrole ‘标准角色名’ 2、删除标准角色： Sp_droprole ‘标准角色名’ 3、将数据库用户添加至标准角色中： Sp_addrolemember ‘标准角色名’,‘用户名’ 例：为teach库创建一个名为‘role1’的标准角色，并为帐号‘seu’创建一个用户‘a1’,要求将‘a1’帐号添加至‘role1’角色中。 Use teach Go Sp_addrole ‘role1’ Go Sp_grantdbaccess ‘seu’,’a1’ Go Sp_addrolemember ‘role1’,’a1’ go 用T-SQL语言创建、删除应用角色 1、打开数据库 2、创建应用角色： Sp_addapprole ‘应用角色名’,‘密码’ 3、删除标准角色： Sp_dropapprole ‘应用角色名’ 4、为应用