第14讲 数据库的安全管理.pptVIP

5.1 权限的种类 SQL Server中的权限包括对象权限和语句权限 对象权限——对数据库对象执行操作的权力。数据库对象包括表、视图、存储过程等。 语言权限——执行语句的权限。如创建数据库、表、存储过程等。这种语句虽然也包含有操作(如CREATE)的对象，但这些对象在执行该语句之前并不存在于数据库中，所以将其归为语句权限范畴。 11.5 权限管理 对象权限 11.5.1 权限的种类 对 象 操 作 表 SELECT、INSERT、UPDATE、DELETE、REFERANCES 视图 SELECT、INSERT、UPDATE、DELETE 存储过程 EXECUTE 列 SELECT、UPDATE 语句权限及其作用 11.5.1 权限的种类 语 句 作 用 CREATE DATABASE 创建数据库 CREATE TABLE 在数据库中创建表 CREATE VIEW 在数据库中创建视图 CREATE DEFAULT 在数据库中创建默认对象 CREATE PROCEDURE 在数据库中创建存储过程 CREATE RULE 在数据库中创建规则 CREATE FUNCTION 在数据库中创建函数 BACKUP DATABASE 备份数据库 BACKUP LOG 备份日志 5.2 权限管理的任务和方法 任务 为用户或角色授权（包括允许和禁止）、撤销权限。 授予权限(GRANT)——用户有权进行某项操作。 禁止权限(DENY)——用户无权进行某项操作，即便其所属的角色有权进行该项操作。 撤消权限(REVOKE)——用于删除用户的权限，但是撤消权限是删除曾经授予的权限，并不禁止用户、组或角色通过别的方式继承权限。 方法 方法一：使用管理平台。 方法二：使用T-SQL。 5.3 使用管理平台进行权限管理 语句权限 （1）在对象资源管理器中展开“数据库服务器”→“数据库”。 （2）在选择的数据库上单击鼠标右键，在弹出菜单中选择“属性”项，打开“数据库属性”对话框。 （3）在“数据库属性”对话框中选择“权限”选项卡，进行相应的语句权限设置 11.5 权限管理 5.3 使用企业管理器管理权限 11.5.2 授予权限 （1） （2） （3） （4） GRANT 授予或具有授予 DENY 拒绝 REVOKE 吊销权限 5.4 使用T-SQL语句管理权限--1 (1). 为用户或角色授予对象权限 【例】 在当前数据库中，为goods表授予权限 GRANT SELECT ON Goods TO public --为角色授权 GO GRANT INSERT,UPDATE,DELETE ON goods TO ZG002 --为用户 （授予权限） go GRANT INSERT,UPDATE,DELETE ON goods TO ZG002 with grant option --为用户（授予权限具有授予权限） 【例】在当前数据库中，为Employee表的列授予权限 GRANT SELECT (Employee_id,Employee_name) ON Employee TO public 5.4 使用T-SQL语句管理权限--2 (2)为用户或角色授予语句权限 【例】 USE Sales GO GRANT CREATE TABLE TO ZG002 5.4 使用T-SQL语句管理权限--3 (3) 禁止权限 【例】禁止用户ZG002使用CREATE VIEW语句。 USE Sales GO DENY CREATE TABLE TO ZG002 【例】给pubic角色授予表employee上的SELETE权限，再拒绝用户ZG001、ZG002的特定权限，以使这些用户没有对employee表的操作权限。 USE Sales GO GRANT SELECT ON employee TO public GO DENY SELECT,INSERT,UPDATE,DELETE ON employee TO ZG002 GO 此时，虽然ZG001,ZG002属于public组，但不能对employee表进行增删改差操作。 11.5.3 禁止与撤消权限 5.4 使用T-SQL语句管理权限--4 (4) 撤消以前授予或拒绝的权限 【例】撤消用户ZG002对在sales数据库中创建表的权限。 USE Sales GO REVOKE CREATE TABLE FROM ZG002 【例】 撤消以前ZG002授予或拒绝的SELECT权限。 Use Sales GO REVOKE SELECT ON employee FROM ZG002 此时ZG001用户不具有employee表上的操作权