第4篇数据库安全性控制.ppt

例,把用户U4修改学生学号的权限收回 REVOKE UPDATE(Sno) ON Student FROM U4; 例,收回所有用户对表SC的查询权限 REVOKE SELECT ON SC FROM PUBLIC; 把用户U5对sc表的INSERT权限收回。 REVOKE INSERT ON SC FROM U5 CASCADE 创建数据库模式的权限 CREATE SCHEMA schema_name_clause [ schema_element [ , ...n ] ] schema_name_clause ::= { ????????schema_name ????| AUTHORIZATION owner_name ????| schema_name AUTHORIZATION owner_name } schema_element ::= { table_definition | view_definition | grant_statement revoke_statement | deny_statement } create schema schema1 AUTHORIZATION u3 CREATE TABLE a (bb int, cc char(8)) U3用户具有了schema1中a表的insert,update,delete,drop 权限，无其他权限 grant select on schema::schema1 to u6 数据库角色 数据库角色：被命名的一组与数据库操作相关的权限 角色是权限的集合 可以为一组具有相同权限的用户创建一个角色 简化授权的过程 SQL Server 2005中，角色分为： 固定的服务器角色 固定的数据库角色 用户自定义的角色 固定的服务器角色 固定的服务器角色 描述 sysadmin 可在SQL Server中进行任何活动。该角色的权限包含了所有其它固定的服务器角色的权限。 serveradmin 配置服务器范围的设置。 setupadmin 添加和删除链接服务器，并执行某些系统存储过程（如 sp_serveroption）。 securityadmin 管理服务器登录账户。 processadmin 管理在 SQL Server 实例中运行的进程。 dbcreator 创建、更改和删除数据库。 diskadmin 管理磁盘文件。 bulkadmin 执行 BULK INSERT 语句。 固定的数据库角色 固定的数据库角色 描述 db_owner 在数据库中拥有全部权限。 db_accessadmin 可以添加或删除用户ID。 db_securityadmin 可以管理数据库角色和角色成员，并管理数据库中的语句权限和对象权限。 db_ddladmin 可建立、修改和删除数据库对象 db_backupoperator 可以进行数据库备份、恢复操作 db_datareader 可以查询数据库中所有用户表中的数据。 db_datawriter 可以更改数据库中所有用户表中的数据。 db_denydatareader 不允许查询数据库中所有用户表中的数据。 db_denydatawriter 不允许更改数据库中所有用户表中的数据 public 默认不具有任何权限，但用户可对此角色进行授权 用户自定义的角色 用户自定义的角色属于数据库一级的角色。 用户可以根据实际的工作职能情况定义自己的一系列角色，并给每个角色授予合适的权限。 用户自定义角色的成员可以是数据库的用户，也可以是用户定义的角色。 通过角色来实现将一组权限授予一个用户。 步骤如下： a.首先创建一个角色 R1 CREATE ROLE R1； b.然后使用GRANT语句，使角色R1拥有Student表的SELECT、UPDATE、INSERT权限 GRANT SELECT,UPDATE,INSERT ON Student TO R1; c.将这个角色授予u1，u2，u3。使他们具有角色R1所包含的全部权限 EXEC sp_addrolemember r1, u1 d.可以一次性通过R1来回收u1的这3个权限 EXEC sp_droprolemember r1, u1 角色权限的修改 Grant delete ON STUDENT To R1 收回r1在student上的select权限 Revoke select on student From r1 拒绝用户 u1对 表 student 的 delete 权限。 DENY delete ON student TO u1; 自主存取控制的优缺点： 优点：