第12章 安全.ppt

复习 1、什么时候使用批处理？ 2、事务处理的由来？ 3、游标对什么进行操作？ 数据库角色 数据库角色定义在数据库级别上，并且有权进行特定数据库的管理及操作。 * 一个登录账号可以不属于任何角色，也可以同时属于多个角色 * 有几个系统存储过程与服务角色的管理有关: sp_dropsrvrolemember 将一个账号从服务器角色中删除 sp_helpsrvrole 返回服务器角色的列表 * sp_helpsrvrolemember： 返回指定的服务器角色的信息，包括角色名、成员以及每个成员的Windows NT安全标志(SID) sp_srvrolepermission：返回应用于一个服务器角色的权限 * 5 管理数据库的用户 前面所介绍的都是服务器账号的管理，若一个用户登录到SQL Server服务器，还不能对数据库进行操作，因为sa还没有为他在数据库中建立一个用户名 * 每一台服务器除了有一套服务器登录账号列表，每个数据库中都有一套相互独立的数据库用户列表。数据库用户与服务器登录账号之间存在着一种映射关系 可将服务器登录账号映射到用户需要访问的每个数据库中的一个用户账号或角色上 * 一个登录账号在不同的数据库中可以映射成不同的用户，从而可以具有不同的权限 * 每个数据库中都有两个默认的用户：dbo和guest guest用户若使用 不当有可能成为 安全的隐患 * （1） 添加数据库用户 * （2）修改数据库用户 为了更高效地管理数据库用户的权限，数据库中也设计了角色的概念。与服务器角色不同的是，在数据库中，除了有固定角色外，还可以自定义角色 * 固定数据库角色 是在每个数据库中都存在的预定义组 管理员可以将一个用户加入一个或多个数据库角色中 不能被添加、修改或删除 有权限执行一些特殊的数据库级管理活动 * 创建用户自定义数据库角色的方法比较简单，如用户已经创建了数据库my_database，然后创建数据库角色如to_my_database，只要在该数据库下面的“角色”中单击鼠标右键，在弹出的对话框中填入to_my_database就可以了 * （3） 删除用户自定义角色 可在图形化界面中删除 也可以通过T-SQL语句删除，使用系统存储过程sp_droprole * * * * 本次课主要内容 第十二章 安全管理 12.1 SQL Server的安全机制 12.2 管理服务器的安全性 12.3 管理权限 12.4 应用程序的安全性 * 12.3 管理权限 权限用来控制用户如何访问数据库对象。一个用户可以同时属于具有不同权限的多个角色，这些不同的权限提供了对同一数据库对象的不同的访问级别 * 1 权限分类 SQL Server 2005中的权限分为三种： 对象权限 语句权限 隐含权限 用户对数据库的表、存储过程、视图等对象的操作权限 是否可以执行SELECT、UPDATE操作 隐含权限不能明确地赋予或取消 * 2 权限设置 一个用户或角色的权限可以有以下三种存在形式： 授权(Granted) 拒绝(Denied) 取消(Revoked) 关于权限的信息存在在sysprotects系统表中 * 3 权限和系统表 数据库用户的权限信息都记录在sysprotects系统表中use my_database go select * from sysprotects * * * * 本次课主要内容 第十二章 安全管理 12.1 SQL Server的安全机制 12.2 管理服务器的安全性 12.3 管理权限 12.4 应用程序的安全性 * 12.4 应用程序的安全性 有时，要求对数据库的某些操作不允许用户用任何工具来进行操作，而只能用特定的应用程序来处理 * 有些复杂的数据库，表间的数据关系可能很难直接用外键、规则等功能来维护，为保证数据完整性和一致性，应使用应用程序进行操作，以避免用户对数据库的错误操作 * 应用程序角色的特点： 它的角色不包含成员 用户不能加入应用程序角色 角色的权限在角色被激活时生效 角色在激活时需要口令 在激活角色以后，当前用户的使用权限从标准的用户权限控制转到应用程序角色的权限控制 * 修改应用程序角色的口令 使用系统存储过程sp_approlepassword 修改应用程序角色的口令 * sp_approlepassword ‘password’ ‘my_password’ 例如，下面的语句将password的口令改为my_password 只有sysadmin服务器角色的成员或db_securityadmin以及db_owner固定数据库角色的成员才有权执行这一操作