SQL2008安全及權(quán)限

1、第第1章章 安全與權(quán)限安全與權(quán)限第第1章章 安全與權(quán)限安全與權(quán)限 1.1 安全與權(quán)限的基礎(chǔ)知識(shí)安全與權(quán)限的基礎(chǔ)知識(shí)1.1.1 SQL server 2008安全機(jī)制的總體策略遠(yuǎn)程網(wǎng)絡(luò)主機(jī)通過(guò)Internet訪問(wèn)SQL server 2008服務(wù)器所在的網(wǎng)絡(luò)，這由網(wǎng)絡(luò)環(huán)境提供某種保護(hù)機(jī)制。(2) 網(wǎng)絡(luò)中的主機(jī)訪問(wèn)SQL server 2008服務(wù)器，這首先要求對(duì)SQL Server進(jìn)行正確配置，其內(nèi)容將要在下一節(jié)中介紹；其次是要求擁有對(duì)SQL server 2008實(shí)例的訪問(wèn)權(quán) 登錄名。(3) 訪問(wèn)SQL server 2008數(shù)據(jù)庫(kù)，這要求擁有對(duì)SQL server 2008數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)數(shù)據(jù)

2、庫(kù)用戶(hù)。(4) 訪問(wèn)SQL server 2008數(shù)據(jù)庫(kù)中的表和列，這要求擁有對(duì)表和列的訪問(wèn)權(quán) 權(quán)限。安全對(duì)象Server 角色SQL Server 登錄Windows 組域用戶(hù)賬戶(hù)本地用戶(hù)賬戶(hù)用戶(hù)數(shù)據(jù)庫(kù)角色應(yīng)用程序角色組SQL Server數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)Windows文件密鑰服務(wù)器架構(gòu)數(shù)據(jù)庫(kù)安全對(duì)象權(quán)限主體主體1.1.2 安全對(duì)象安全對(duì)象SQL Server2008的安全機(jī)制的安全機(jī)制nSQL Server2008的安全機(jī)制可以分為四個(gè)級(jí)的安全機(jī)制可以分為四個(gè)級(jí)別：別：q操作系統(tǒng)的安全性操作系統(tǒng)的安全性qSQL Server2008的登錄安全性的登錄安全性q數(shù)據(jù)庫(kù)的使用安全性數(shù)據(jù)庫(kù)的使用安全性

3、q數(shù)據(jù)庫(kù)對(duì)象的使用安全性數(shù)據(jù)庫(kù)對(duì)象的使用安全性SQL Server 2008 權(quán)限Server 角色SQL Server 登錄Windows 組域用戶(hù)賬戶(hù)本地用戶(hù)賬戶(hù)用戶(hù)數(shù)據(jù)庫(kù)角色應(yīng)用程序角色組SQL Server數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)Windows文件密鑰CREATEALTERDROPCONTROLCONNECTSELECTEXECUTEUPDATEDELETEINSERTTAKE OWNERSHIPVIEW DEFINITIONBACKUP授予授予/撤銷(xiāo)撤銷(xiāo)/拒絕拒絕ACL服務(wù)器架構(gòu)數(shù)據(jù)庫(kù)安全對(duì)象權(quán)限主體主體1.1.3 SQL Server 2008 權(quán)限權(quán)限nWindows 身份驗(yàn)證模式 q用戶(hù)由

4、 Windows 授權(quán)，適用于當(dāng)數(shù)據(jù)庫(kù)僅在組織內(nèi)部訪問(wèn)時(shí)。 q通過(guò)登錄而被授予 SQL Server 的訪問(wèn)權(quán) n混合身份驗(yàn)證模式 q用戶(hù)通過(guò)一個(gè)受信任連接連接到 SQL Server 并使用 Windows 身份驗(yàn)證來(lái)訪問(wèn) SQL Server q適用于當(dāng)外界的用戶(hù)需要訪問(wèn)數(shù)據(jù)庫(kù)時(shí)或當(dāng)用戶(hù)不能使用WINDOWS域時(shí)。SQL Server 身份驗(yàn)證模式1.2.1 SQL Server 2008的身份認(rèn)證模式的身份認(rèn)證模式 1Windows 身份驗(yàn)證模式身份驗(yàn)證模式 當(dāng)使用Windows身份驗(yàn)證連接到SQL Server時(shí)， Microsoft Windows將完全負(fù)責(zé)對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證。在這

5、種情況下，將按其Windows用戶(hù)賬戶(hù)來(lái)識(shí)別客戶(hù)端。當(dāng)用戶(hù)通過(guò)Windows用戶(hù)賬戶(hù)進(jìn)行連接時(shí)，SQL Server使用Windows操作系統(tǒng)中的信息驗(yàn)證賬戶(hù)名和密碼，這是SQL Server默認(rèn)的身份驗(yàn)證模式，比混合模式安全的多。 1.2.1 SQL Server 2008的身份認(rèn)證模的身份認(rèn)證模式式2混合身份驗(yàn)證模式混合身份驗(yàn)證模式n混合驗(yàn)證模式允許以SQL Server身份驗(yàn)證模式或者Windows身份驗(yàn)證模式來(lái)進(jìn)行驗(yàn)證。n使用哪個(gè)模式取決于在最初的通信時(shí)使用的網(wǎng)絡(luò)庫(kù)。n如果一個(gè)用戶(hù)使用TCP/IP Sockets進(jìn)行登錄驗(yàn)證，則使用SQL Server身份驗(yàn)證模式；如果用戶(hù)使用命名管道

6、，則登錄時(shí)將使用Windows驗(yàn)證模式。n這種模式能更好地適應(yīng)用戶(hù)的各種環(huán)境。 1. 設(shè)置身份驗(yàn)證模式 通過(guò)圖形化界面設(shè)置身份驗(yàn)證模式通過(guò)圖形化界面設(shè)置身份驗(yàn)證模式 第步第步 ：打開(kāi)：打開(kāi)SQL Server Management studio,SQL Server Management studio,使用使用WINDOWSWINDOWS或或SQL SERVERSQL SERVER身份驗(yàn)證建立連接。身份驗(yàn)證建立連接。 第第2 2步步：對(duì)象資源管理器：對(duì)象資源管理器- -服務(wù)器右擊服務(wù)器右擊- -屬性屬性- -服服務(wù)器屬性務(wù)器屬性 第第3 3步步： 選擇安全性選擇安全性- -在此設(shè)置身份驗(yàn)證模式

7、在此設(shè)置身份驗(yàn)證模式1.3 數(shù)據(jù)庫(kù)賬戶(hù) 在SQL Server中，賬號(hào)有兩種：一種是登錄服務(wù)器的登錄賬號(hào)，另外一種就是使用數(shù)據(jù)庫(kù)的用戶(hù)賬號(hào)。登錄賬號(hào)只是讓用戶(hù)登錄到SQL Server中，登錄名本身并不能讓用戶(hù)訪問(wèn)服務(wù)器中的數(shù)據(jù)庫(kù)。 要訪問(wèn)特定的數(shù)據(jù)庫(kù)，還必須具有用戶(hù)名。用戶(hù)名在特定的數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建，并關(guān)聯(lián)一個(gè)登錄名（當(dāng)一個(gè)用戶(hù)創(chuàng)建時(shí)，必須關(guān)聯(lián)一個(gè)登錄名）。通過(guò)授權(quán)給用戶(hù)來(lái)指定用戶(hù)可以訪問(wèn)的數(shù)據(jù)庫(kù)對(duì)象的權(quán)限。 1.3.1 服務(wù)器的登錄賬號(hào) 創(chuàng)建登錄賬號(hào)時(shí)需要指出該賬號(hào)使用的是Windows身份驗(yàn)證還是使用的SQL Server身份驗(yàn)證。 1使用使用Windows身份驗(yàn)證的登錄身份驗(yàn)證的登錄2使用

8、使用SQL Server身份驗(yàn)證的登錄身份驗(yàn)證的登錄1.3.2 數(shù)據(jù)庫(kù)用戶(hù)賬戶(hù) 一般情況下，用戶(hù)登錄SQL Server實(shí)例后，還不具備訪問(wèn)數(shù)據(jù)庫(kù)的條件。在用戶(hù)可以訪問(wèn)數(shù)據(jù)庫(kù)之前，管理員必須為該用戶(hù)在數(shù)據(jù)庫(kù)中建立一個(gè)數(shù)據(jù)庫(kù)賬號(hào)作為訪問(wèn)該數(shù)據(jù)庫(kù)的ID。這個(gè)過(guò)程就是將SQL Server登錄賬號(hào)映射到需要訪問(wèn)的每個(gè)數(shù)據(jù)庫(kù)中，這樣才能夠訪問(wèn)數(shù)據(jù)庫(kù)。如果數(shù)據(jù)庫(kù)中沒(méi)有用戶(hù)賬戶(hù)，則即使用戶(hù)能夠連接到SQL Server實(shí)例也無(wú)法訪問(wèn)到該數(shù)據(jù)庫(kù)。 1默認(rèn)的數(shù)據(jù)庫(kù)用戶(hù)默認(rèn)的數(shù)據(jù)庫(kù)用戶(hù)2添加數(shù)據(jù)庫(kù)用戶(hù)添加數(shù)據(jù)庫(kù)用戶(hù)3刪除數(shù)據(jù)庫(kù)用戶(hù)刪除數(shù)據(jù)庫(kù)用戶(hù)創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)的方法n創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)可分為兩個(gè)過(guò)程：創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)可

9、分為兩個(gè)過(guò)程：q首先創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)使用的首先創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)使用的SQL Server2008登登錄名，如果使用內(nèi)置的登錄名則可省略這一步。錄名，如果使用內(nèi)置的登錄名則可省略這一步。q其次為數(shù)據(jù)庫(kù)創(chuàng)建用戶(hù)，指定到創(chuàng)建的登錄名。其次為數(shù)據(jù)庫(kù)創(chuàng)建用戶(hù)，指定到創(chuàng)建的登錄名。n用用 SQL Server Management Studio 或或 CREATE USER 語(yǔ)句創(chuàng)建用戶(hù)語(yǔ)句創(chuàng)建用戶(hù)1.3.1 管理用戶(hù)的方法管理用戶(hù)的方法n下面通過(guò)SQL Server Management studio工具來(lái)創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)帳戶(hù)，然后給用戶(hù)授予訪問(wèn)【教務(wù)管理系統(tǒng)】數(shù)據(jù)庫(kù)的權(quán)限。1、展開(kāi)【服務(wù)器】|【數(shù)據(jù)庫(kù)】|【

10、教務(wù)管理系統(tǒng)】節(jié)點(diǎn)。2、再展開(kāi)【安全性】|【用戶(hù)】節(jié)點(diǎn)并右擊，選擇【新建用戶(hù)】，打開(kāi)【數(shù)據(jù)庫(kù)用戶(hù)-新建】3、在【用戶(hù)名】文本框中輸入dur_suna來(lái)指定要?jiǎng)?chuàng)建的數(shù)據(jù)庫(kù)用戶(hù)名稱(chēng)4、單擊【登錄名】文本框旁邊的【選項(xiàng)】，打開(kāi)【選擇登錄名】窗口，然后單擊【瀏覽】按鈕，彈出【查找對(duì)象】對(duì)話框。5、啟用suna旁邊的復(fù)選框，單擊確定按鈕，返回【選擇登錄名】窗口，單擊確定，返回【數(shù)據(jù)庫(kù)用戶(hù)-新建】窗口6、用同樣的方式，選擇【默認(rèn)架構(gòu)】為dbo7、單擊確定按鈕8、為了驗(yàn)證是否創(chuàng)建成功，可以展開(kāi)用戶(hù)節(jié)點(diǎn)1.4 固定服務(wù)器角色 服務(wù)器角色獨(dú)立于各個(gè)數(shù)據(jù)庫(kù)。如果我們?cè)赟QL Server中創(chuàng)建一個(gè)登錄賬號(hào)后，要賦

11、予該登錄者具有管理服務(wù)器的權(quán)限，此時(shí)可設(shè)置該登錄賬號(hào)為服務(wù)器角色的成員。SQL Server提供了以下固定服務(wù)器角色： 內(nèi)置服務(wù)器角色1.4.2 服務(wù)器角色管理服務(wù)器角色管理 通過(guò)圖形化界面實(shí)現(xiàn)服務(wù)器角色管理通過(guò)圖形化界面實(shí)現(xiàn)服務(wù)器角色管理 第第1步步 以系統(tǒng)管理員身份登錄到SQL Server服務(wù)器，在登錄圖標(biāo)對(duì)應(yīng)的列表項(xiàng)中，選擇登錄賬號(hào)“zhou”的項(xiàng)目雙擊； 第第2步步 選擇“服務(wù)器角色” 選項(xiàng)卡，如圖8.9所示，選項(xiàng)卡中列出了SQL Server所有的固定服務(wù)器角色，將“System administrators”服務(wù)器角色前的復(fù)選框選中。圖圖8.9 SQL Server服務(wù)器角色設(shè)置

12、窗口服務(wù)器角色設(shè)置窗口1.4.2 服務(wù)器角色管理服務(wù)器角色管理 2. 利用系統(tǒng)存儲(chǔ)過(guò)程實(shí)現(xiàn)服務(wù)器角色管理利用系統(tǒng)存儲(chǔ)過(guò)程實(shí)現(xiàn)服務(wù)器角色管理 利用系統(tǒng)存儲(chǔ)過(guò)程sp_addsrvrolemember可將一登錄賬號(hào)添加到某一固定服務(wù)器角色中，使其成為固定服務(wù)器角色的成員。語(yǔ)法格式語(yǔ)法格式： sp_addsrvrolemember login，role 參數(shù)含義： login：添加到固定服務(wù)器角色role的登錄賬號(hào)名， 【例例8.6】 將 Windows NT 用戶(hù) dreamzhouym 添加到 sysadmin 固定服務(wù)器角色中。EXEC sp_addsrvrolemember dreamzhou

13、ym , sysadmin 1.4.2 服務(wù)器角色管理服務(wù)器角色管理利用sp_dropsrvrolemember系統(tǒng)存儲(chǔ)過(guò)程可從固定服務(wù)器角色中刪除SQL Server 登錄賬號(hào)或Windows NT用戶(hù)或組?！纠?.7】從 sysadmin 固定服務(wù)器角色中刪除登錄 zhou。 EXEC sp_dropsrvrolemember zhou, sysadmin 利用sp_srvrolepermission系統(tǒng)存儲(chǔ)過(guò)程可以瀏覽固定服務(wù)器角色的權(quán)限。1.5 數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色 授予了管理公共數(shù)據(jù)庫(kù)任務(wù)的權(quán)限 用戶(hù)定義的數(shù)據(jù)庫(kù)角色用戶(hù)定義的數(shù)據(jù)庫(kù)角色相同數(shù)據(jù)庫(kù)權(quán)限的多個(gè)用戶(hù) 應(yīng)

14、用程序角色應(yīng)用程序角色包含數(shù)據(jù)庫(kù)中所有用戶(hù)5.3.3 數(shù)據(jù)庫(kù)角色數(shù)據(jù)庫(kù)角色1.5.1 固定的數(shù)據(jù)庫(kù)角色固定的數(shù)據(jù)庫(kù)角色 1通過(guò)管理器工具瀏覽固定的數(shù)據(jù)庫(kù)角色通過(guò)管理器工具瀏覽固定的數(shù)據(jù)庫(kù)角色 第步第步 打開(kāi)對(duì)象資源管理器，選擇任意一個(gè)數(shù)據(jù)庫(kù)名。打開(kāi)對(duì)象資源管理器，選擇任意一個(gè)數(shù)據(jù)庫(kù)名。 第第2 2步步 展開(kāi)數(shù)據(jù)庫(kù)的節(jié)點(diǎn)，選擇展開(kāi)數(shù)據(jù)庫(kù)的節(jié)點(diǎn)，選擇【安全性安全性】 第第3 3步步 在在【安全性安全性】下選擇下選擇【角色角色】，展開(kāi)節(jié)點(diǎn)，然后選擇，展開(kāi)節(jié)點(diǎn)，然后選擇【數(shù)數(shù)據(jù)庫(kù)角色據(jù)庫(kù)角色】，就可以看到系統(tǒng)默認(rèn)的固定數(shù)據(jù)庫(kù)角色了，就可以看到系統(tǒng)默認(rèn)的固定數(shù)據(jù)庫(kù)角色了 2.使用系統(tǒng)存儲(chǔ)過(guò)程瀏覽固定的數(shù)

15、據(jù)庫(kù)角色瀏覽固定的數(shù)據(jù)庫(kù)角色 EXEC SP_HELPdbfixedrole go1.5.1 固定的數(shù)據(jù)庫(kù)角色固定的數(shù)據(jù)庫(kù)角色n1. 固定數(shù)據(jù)庫(kù)角色固定數(shù)據(jù)庫(kù)角色n 固定數(shù)據(jù)庫(kù)角色定義在數(shù)據(jù)庫(kù)級(jí)別上，并且有權(quán)進(jìn)行特定數(shù)據(jù)庫(kù)的管理及操作。SQL Server提供了以下固定數(shù)據(jù)庫(kù)角色：n （1）db_owner：數(shù)據(jù)庫(kù)所有者，可執(zhí)行數(shù)據(jù)庫(kù)的所有管理操作。n SQL Server 數(shù)據(jù)庫(kù)中的每個(gè)對(duì)象都有所有者，通常創(chuàng)建該對(duì)象的用戶(hù)即為其所有者。其他用戶(hù)只有在相應(yīng)所有者對(duì)其授權(quán)后，方可訪問(wèn)該對(duì)象。n （2）db_accessadmin：數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限管理者，具有添加、刪除數(shù)據(jù)庫(kù)使用者、數(shù)據(jù)庫(kù)角色和組的

16、權(quán)限。n 1.5.1 固定的數(shù)據(jù)庫(kù)角色固定的數(shù)據(jù)庫(kù)角色n（3）db_securityadmin：數(shù)據(jù)庫(kù)安全管理員，可管理數(shù)據(jù)庫(kù)中的權(quán)限，如設(shè)置數(shù)據(jù)庫(kù)表的增、刪、修改和查詢(xún)等存取權(quán)限。n （4）db_ddladmin：數(shù)據(jù)庫(kù)DDL管理員，可增加、修改或刪除數(shù)據(jù)庫(kù)中的對(duì)象。n （5）db_backupoperator：數(shù)據(jù)庫(kù)備份操作員，具有執(zhí)行數(shù)據(jù)庫(kù)備份的權(quán)限。n （6）db_datareader：數(shù)據(jù)庫(kù)數(shù)據(jù)讀取者。n （7）db_datawriter：數(shù)據(jù)庫(kù)數(shù)據(jù)寫(xiě)入者，具有對(duì)表進(jìn)行增、刪修改的權(quán)限。n （8）db_denydatareader：數(shù)據(jù)庫(kù)拒絕數(shù)據(jù)讀取者，不能讀取數(shù)據(jù)庫(kù)中任何表的內(nèi)容n

17、9）db_denydatawriter：數(shù)據(jù)庫(kù)拒絕數(shù)據(jù)寫(xiě)入者，不能對(duì)任何表進(jìn)行增、刪修改操作。n （10）public：是一個(gè)特殊的數(shù)據(jù)庫(kù)角色，每個(gè)數(shù)據(jù)庫(kù)用戶(hù)都是public 角色的成員，因此，不能將用戶(hù)、組或角色指派為public角色的成員，也不能刪除public角色的成員。通常將一些公共的權(quán)限賦給public角色。5.5.2 用戶(hù)自定義數(shù)據(jù)庫(kù)角色用戶(hù)自定義數(shù)據(jù)庫(kù)角色n1通過(guò)通過(guò)SQL命令創(chuàng)建數(shù)據(jù)庫(kù)角色命令創(chuàng)建數(shù)據(jù)庫(kù)角色n 1）定義數(shù)據(jù)庫(kù)角色）定義數(shù)據(jù)庫(kù)角色n 語(yǔ)法格式語(yǔ)法格式：n 其中語(yǔ)法中的參數(shù)介紹如下：nrole_name 將要?jiǎng)?chuàng)建的角色的名稱(chēng)nowner_name 該角色擁有者的名字

18、，默認(rèn)為dbo。其中owner_name必須是當(dāng)前數(shù)據(jù)庫(kù)里的用戶(hù)或角色1.5.2 用戶(hù)自定義數(shù)據(jù)庫(kù)角色用戶(hù)自定義數(shù)據(jù)庫(kù)角色2通過(guò)管理器創(chuàng)建數(shù)據(jù)庫(kù)角色通過(guò)管理器創(chuàng)建數(shù)據(jù)庫(kù)角色 第步：第步： 展開(kāi)指定的數(shù)據(jù)庫(kù)節(jié)點(diǎn)。 第第2步步: 選擇【安全性】選項(xiàng)，展開(kāi)【安全性】節(jié)點(diǎn)，選擇【角色】選項(xiàng)； 第第3步步: 展開(kāi)【角色】選項(xiàng)下的節(jié)點(diǎn)，選擇【數(shù)據(jù)庫(kù)角色】選項(xiàng)，鼠標(biāo)右鍵單擊，選擇【新建數(shù)據(jù)庫(kù)角色】； 第第4步步: 輸入數(shù)據(jù)庫(kù)角色的名字，也可以單擊【添加】按鈕添加數(shù)據(jù)庫(kù)成員。 第第5步步: 單擊【確定】按鈕1.5.3 應(yīng)用程序角色 應(yīng)用程序角色是用戶(hù)定義數(shù)據(jù)庫(kù)角色的一種形式，與固定數(shù)據(jù)庫(kù)角色不同。它規(guī)定了某個(gè)

19、應(yīng)用程序的安全性，用來(lái)控制通過(guò)某個(gè)應(yīng)用程序?qū)?shù)據(jù)的間接訪問(wèn)。例如，管理員允許雇員使用雇員處理程序錄入新員工、離職員工和打印統(tǒng)計(jì)報(bào)表等。 1.6 數(shù)據(jù)庫(kù)權(quán)限 權(quán)限提供了一種方法來(lái)對(duì)特權(quán)進(jìn)行分組，并控制實(shí)例、數(shù)據(jù)庫(kù)和數(shù)據(jù)庫(kù)對(duì)象的維護(hù)和實(shí)用程序的操作。用戶(hù)可以具有授予一組數(shù)據(jù)庫(kù)對(duì)象的全部特權(quán)的管理權(quán)限，也可以具有授予管理系統(tǒng)的全部特權(quán)但不允許存取數(shù)據(jù)的系統(tǒng)權(quán)限。1.6.1 權(quán)限概述權(quán)限概述n權(quán)限類(lèi)型：q對(duì)象權(quán)限q語(yǔ)句權(quán)限q隱式權(quán)限 對(duì)于表和視圖，擁有者可以授予數(shù)據(jù)庫(kù)用戶(hù)INSERT、UPDATE、DELETE、SELECT和REFERENCES五種權(quán)限。1.6.2 管理權(quán)限 對(duì)于用戶(hù)或角色權(quán)限的操作

20、有以下3種狀態(tài)：授予、廢除和拒絕。用戶(hù)和角色的權(quán)限以記錄的形式存儲(chǔ)在各個(gè)數(shù)據(jù)庫(kù)的sysprotects系統(tǒng)表中。1授予權(quán)限授予權(quán)限 GRANT2撤銷(xiāo)權(quán)限撤銷(xiāo)權(quán)限 REVOKE3拒絕權(quán)限拒絕權(quán)限 DENY1.6.2 管理權(quán)限管理權(quán)限n1 授予權(quán)限授予權(quán)限n 利用GRANT語(yǔ)句可以給數(shù)據(jù)庫(kù)用戶(hù)或數(shù)據(jù)庫(kù)角色賦予執(zhí)行T-SQL語(yǔ)句的權(quán)限及對(duì)數(shù)據(jù)庫(kù)對(duì)象進(jìn)行操作的權(quán)限。n 授予執(zhí)行T-SQL語(yǔ)句的權(quán)限。1.6.2 管理權(quán)限 語(yǔ)法格式語(yǔ)法格式： GRANT ALL | statement ,.n TO security_account ,.n 授予對(duì)數(shù)據(jù)庫(kù)對(duì)象操作的權(quán)限。 語(yǔ)法格式語(yǔ)法格式： GRANT A

21、LL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account ,.n WITH GRANT OPTION AS group | role 1.6.2 管理權(quán)限n例如：在下面的例子中使用GRANT語(yǔ)句，授予角色guest對(duì)“教務(wù)管理系統(tǒng)”數(shù)據(jù)庫(kù)中“學(xué)生信息”表的INSERT、UPDATE、DE

22、LETE權(quán)限n use 教務(wù)管理系統(tǒng)n gon grant select,update,deleten on 學(xué)生信息n to guestn go1.6.2 管理權(quán)限n2. 拒絕權(quán)限拒絕權(quán)限n 使用DENY命令可以拒絕給當(dāng)前數(shù)據(jù)庫(kù)內(nèi)的用戶(hù)授予的權(quán)限，并防止數(shù)據(jù)庫(kù)用戶(hù)通過(guò)其組或角色成員資格繼承權(quán)限。n 拒絕語(yǔ)句權(quán)限。n 語(yǔ)法格式語(yǔ)法格式：n DENY ALL | statement ,.n TO security_account ,.n n 拒絕對(duì)象權(quán)限。n 語(yǔ)法格式語(yǔ)法格式：n DENY ALL PRIVILEGES | permission ,.n n n ( column ,.n ) ON

23、 table | view n | ON table | view ( column ,.n ) n | ON stored_procedure | extended_procedure n | ON user_defined_function n TO security_account ,.n n CASCADE 1.6.2 管理權(quán)限【例例8.18】 首先給 public 角色授予 對(duì)于表XS的SELECT 權(quán)限，然后，拒絕用戶(hù) zhang, wang, Nanjingliu 的特定權(quán)限，這樣，這些用戶(hù)就沒(méi)有對(duì)XS表的操作權(quán)限了。 USE XSCJ GO GRANT SELECT ON XS

24、 TO public GO DENY SELECT, INSERT, UPDATE, DELETE ON XS TO zhang, wang, dreamzhou GO【例8.19】首先將在“教務(wù)管理系統(tǒng)”數(shù)據(jù)庫(kù)的“學(xué)生信息”表中執(zhí)行INSERT操作的權(quán)限授予PUBLIC角色，這樣所有的數(shù)據(jù)庫(kù)用戶(hù)都擁有了該項(xiàng)權(quán)限。然后，又拒絕了用戶(hù)guest擁有該項(xiàng)權(quán)限 use 教務(wù)管理系統(tǒng) GO GRANT INSERT ON 學(xué)生信息 TO PUBLIC GO DENY INSERT ON 學(xué)生信息 TO GUEST1.6.2 管理權(quán)限n3. 撤消權(quán)限撤消權(quán)限n 利用REVOKE命令可取消以前給當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)授予或拒絕的權(quán)限。n 取消以前授予或拒絕的語(yǔ)句權(quán)限。n 語(yǔ)法格式語(yǔ)法格式：n REVOKE ALL | statement ,.n FROM security_account ,.n n 取消以前授予或拒絕的對(duì)象權(quán)限。n 語(yǔ)法格式語(yǔ)法格式：n REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ,.n n ( column ,.n ) ON table | view n | ON table | view ( column ,.n ) n | ON stored_procedure