数据库课件09第九章节数据库安全性ntz幻灯片.ppt

Oracle系统权限 DBA角色 允许用户执行授权命令，建表，对任何表的数据进行操纵。 DBA角色涵盖了前两种角色，此外还可以执行一些管理操作。 DBA角色拥有最高级别的权限。 Oracle系统权限 例：DBA建立一用户U12后，欲将ALTER TABLE、CREATE VIEW、CREATE INDEX、DROP TABLE、DROP VIEW、DROP INDEX, GRANT,REVOKE、INSERT 、SELETE、UPDATE、DELETE、AUDIT、NOAUDIT等系统权限授予U12，则可以只简单地将CONNECT角色授予U12即可： 　　 GRANT CONNECT TO U12; 这样就可以省略十几条GRANT语句。 Oracle数据库对象的权限 ORACLE可以授权的数据库对象 基本表 视图 序列 利用它可生成唯一的整数。一般用于自动生成主码值。避免了在应用层实现序列而引起的性能瓶颈。 同义词:一种映射关系 create?public?synonym?table_name?for?user.table_name 存储过程 函数 Oracle数据库对象的权限 基本表的安全性级别 表级 行级 列级 Oracle数据库对象的权限 表级安全性 表的创建者或DBA可以把对表的权限授予其他用户 表级权限 ALTER： 修改表定义 DELETE：删除表记录 INDEX： 在表上建索引 INSERT： 向表中插入数据记录 SELECT：查找表中记录 UPDATE：修改表中的数据 ALL： 上述所有权限 表级授权使用GRANT／REVOKE语句 例： GRANT SELECT ON SC TO U12; Oracle数据库对象的权限 行级安全性 ORACLE行级安全性由视图间接实现 例：用户U1只允许用户U12查看自己创建的Student表中有关信息系学生的信息，则首先创建视图信息系学生视图S_IS： CREATE VIEW S_IS AS SELECT Sno,Sname,Ssex,Sage,Sdept FROM Student WHERE Sdept=IS; 然后将关于该视图的SELECT权限授予U12用户： GRANT SELECT ON S_IS TO U12; Oracle数据库对象的权限 列级安全性 借助视图实现列级安全性 CREATE VIEW S_V AS SELECT Sno, Sname FROM Student； GRANT SELECT ON S_V TO U12; 直接在基本表上定义列级安全性 例：GRANT UPDATE (Sno, Cno) ON SC TO U12; Oracle数据库对象的权限 三级对象的层次结构 表、行、列三级对象自上而下构成一个层次结构 上一级对象的权限制约下一级对象的权限 例：当一个用户拥有了对某个表的UPDATE权 限，即相当于在表的所有列了都拥有了 UPDATE 权限。 Oracle数据库对象的权限 ORACLE对数据库对象的权限采用分散控制方式 允许具有WITH GRANT OPTION的用户把相应权限或其子集传递授予其他用户 ORACLE不允许循环授权，即授权者不能把权限再授予其授权者或祖先 　　 U1 ───→ U2 ───→ U3 ───→ U4 ↑ │ └───────×────────┘ ORACLE的授权与检查机制 ORACLE的权限检查机制 ORACLE把所有权限信息记录在数据字典中 当用户进行数据库操作时，ORACLE首先根据数据字典中的权限信息，检查操作的合法性 在ORACLE中，安全性检查是任何数据库操作的第一步 SQL 注入 发现SQL注入位置； 判断后台数据库类型； 确定XP_CMDSHELL可执行情况 发现WEB虚拟目录 上传ASP木马； 得到管理员权限； SQL 注入 SQL 注入 以HTTP://xxx.xxx.xxx/abc.asp?p=YY为例进行分析，YY可能是整型，也有可能是字符串。 整型参数的判断 select * from 表名 where