sql数据库试验九：T-SQL语言存储过程及数据库的安全性

学生学号实验课成绩学生实验报告书实验课程名称企业数据库应用开课学院管理学院指导教师姓名学生姓名XXX学生专业班级人力ZY09012010 — 2011 学年第2 学期实验报告填写规范1、实验是培养学生动手能力、分析解决问题能力的重要环节；实验报告是反映实验教学水平与质量的重要依据。

为加强实验过程管理，改革实验成绩考核方法，改善实验教学效果，提高学生质量，特制定本实验报告书写规范。

2、本规范适用于管理学院实验课程。

3、每门实验课程一般会包括许多实验项目，除非常简单的验证演示性实验项目可以不写实验报告外，其他实验项目均应按本格式完成实验报告。

在课程全部实验项目完成后，应按学生姓名将各实验项目实验报告装订成册，构成该实验课程总报告，并给出实验课程成绩。

4、学生必须依据实验指导书或老师的指导，提前预习实验目的、实验基本原理及方法，了解实验内容及方法，在完成以上实验预习的前提下进行实验。

教师将在实验过程中抽查学生预习情况。

5、学生应在做完实验后三天内完成实验报告，交指导教师评阅。

6、教师应及时评阅学生的实验报告并给出各实验项目成绩，同时要认真完整保存实验报告。

在完成所有实验项目后，教师应将批改好的各项目实验报告汇总、装订，交课程承担单位（实验中心或实验室）保管存档。

附表：实验成绩考核建议观测点考核目标成绩组成实验预习1．对验证型实验，考察对实验原理与方法的预习情况2．对于综合型、设计型实验，着重考查设计方案的科学性、可行性和创新性对实验目的和基本原理的认识程度，对实验方案的设计能力20%实验过程1．是否按时参加实验2．对实验过程的熟悉程度3．对基本操作的规范程度4．对突发事件的应急处理能力5．实验原始记录的完整程度6．同学之间的团结协作精神着重考查学生的实验态度、基本操作技能；严谨的治学态度、团结协作精神30%结果分析1．所分析结果是否用原始记录数据2．计算结果是否正确3．实验结果分析是否合理4．对于综合实验，各项内容之间是否有分析、比较与判断等考查学生对实验数据处理和现象分析的能力；对专业知识的综合应用能力；事实求实的精神50%实验项目名称SQL Server的安装及操作实验者xxx 专业班级人力ZY0901同组者无实验日期2011年3月11日一、实验目的、意义1、写出SQL Server的功能与特点，使用方法，应用状况的报告。

SQL数据库安全性许多Windows系统管理员，还兼职着微软SQL Server 数据库管理员（DBA）的身份。

另一方面，企业将许多机密的信息存储到了SQLServer数据库中。

作为一名DBA新手，则需要了解SQL Server的安全模式和如何配置其安全设置，以保证“合法”用户的访问并阻止“非法”访问。

而在SQL Server中登陆、用户、角色、权限提供了对数据库访问的权限，接下来在数据库安全性上着重分析它们的关系。

●安全层次和验证模式一、安全层次SQL Server支持三级安全层次。

在我们登陆到SQL Server时，其实我们是经过了三步的验证。

第一层次是用户提供正确的账号和密码登录到SQL Server，或者已经成功登陆了一个可以映射到SQL Server 的windows账号。

但是在SQLServer登陆并不意味着能够访问数据库，而是要经过第二层次的验证。

第二层次的权限允许用户与一个或多个数据库相连，这一层次的实现要在数据库对象的用户中绑定登陆账户。

第三个层次的安全权限允许用户拥有对指定数据库中的对象的访问权限，例如：可以指定用户有权使用哪些表和视图、运行哪些存储过程。

在第一层次中的windows账号，其实是在我们装机时给windows指定的自己登陆到windows系统的账号，而作为windows系统管理员的我们其实也兼职了SQLServer的管理权，那我们如何设置才能保证只有我们指定的用户才能访问SQL数据库呢？就是我们下面要说的验证模式。

二、SQL登陆验证模式SQL的登陆验证模式有两种，一种是Windows的验证模式，另一种是Windows和SQL Server混合验证模式。

如果我们选择windows模式登陆并把windows账号映射到SQLServer的登陆上，那么合法的windows用户也就连接到了SQL Server中。

Windows模式的登陆需要在SQL Server中设置。

方法：打开SQL Server企业管理器，找到安全性文件夹，打开后再登陆中新建一个windows身份验证模式的账户。

SQL数据库存储过程⽰例解析什么是存储过程：存储过程可以说是⼀个记录集吧，它是由⼀些T-SQL语句组成的代码块，这些T-SQL语句代码像⼀个⽅法⼀样实现⼀些功能（对单表或多表的增删改查），然后再给这个代码块取⼀个名字，在⽤到这个功能的时候调⽤他就⾏了。

存储过程的好处：1.由于数据库执⾏动作时，是先编译后执⾏的。

然⽽存储过程是⼀个编译过的代码块，所以执⾏效率要⽐T-SQL语句⾼。

2.⼀个存储过程在程序在⽹络中交互时可以替代⼤堆的T-SQL语句，所以也能降低⽹络的通信量，提⾼通信速率。

3.通过存储过程能够使没有权限的⽤户在控制之下间接地存取数据库，从⽽确保数据的安全。

⼩结：总之存储过程是好东西，在做项⽬时属于必备利器，下⾯介绍存储过程的基本语法。

存储过程的语法和参数讲解存储过程的⼀些基本语法：--------------创建存储过程-----------------CREATE PROC [ EDURE ] procedure_name [ ; number ][ { @parameter data_type }[ VARYING ] [ = default ] [ OUTPUT ]] [ ,...n ][ WITH{ RECOMPILE | ENCRYPTION | RECOMPILE , ENCRYPTION } ][ FOR REPLICATION ]AS sql_statement [ ...n ]--------------调⽤存储过程-----------------EXECUTE Procedure_name '' --存储过程如果有参数，后⾯加参数格式为：@参数名=value，也可直接为参数值value--------------删除存储过程-----------------drop procedure procedure_name --在存储过程中能调⽤另外⼀个存储过程，⽽不能删除另外⼀个存储过程创建存储过程的参数：1.procedure_name ：存储过程的名称，在前⾯加#为局部临时存储过程，加##为全局临时存储过程。

实验九SQL Server 安全管理一、实验目的1．掌握创建登录帐号的方法；2．掌握创建数据库用户的方法；3．掌握语句级许可权限管理；4．掌握对象级许可权限管理。

二、实验内容背景知识对任何企业组织来说，数据的安全性最为重要。

安全性主要是指允许那些具有相应的数据访问权限的用户能够登录到SQL Server，并访问数据以及对数据库对象实施各种权限范围内的操作，但是要拒绝所有的非授权用户的非法操作。

因此安全性管理与用户管理是密不可分的。

SQL Server 2000 提供了内置的安全性和数据保护，并且这种管理有效而又容易。

SQL Server 2000 的安全性管理是建立在认证（authentication）和访问许可（permission）两者机制上的。

认证是用来确定登录SQL Server 的用户的登录账号和密码是否正确，以此来验证其是否具有连接SQL Server 的权限。

但是通过认证阶段并不代表该用户能够访问SQL Server 中的数据，用户只有在获取访问数据库的权限之后，才能够对服务器上的数据库进行权限许可下的各种操作（主要是针对数据库对象，如表、视图、存储过程等），这种用户访问数据库权限的设置是通过用户账号来实现的，同时在SQL Server 中，角色作为用户组的代替物大大地简化了安全性管理。

1. 管理SQL Server登录认证模式一、介绍SQL Server的登录认证模式SQL Server 2000提供了两种确认用户的登录认证模式：Windows认证模式和混合认证模式。

1．Windows认证模式SQL Server数据库系统通常运行在NT服务器平台或基于NT 构架的Windows2000上，而NT作为网络操作系统，本身就具备管理登录、验证用户合法性的能力，所以Windows认证模式正是利用这一用户安全性和账号管理的机制，允许SQL Server也可以使用NT的用户名和口令。

在该模式下，用户只要通过Windows 的认证就可连接到SQL Server，而SQL Server本身也不需要管理一套登录数据。

实验报告课程名称：数据库原理与应用上机实验名称：T-SQL程序设计专业班级：计算机科学与技术1103 指导教师：卫凡学生姓名：贾梦洁学期：2013-2014学年第一学期实验报告课程名称数据库原理与应用实验名称T-SQL程序设计姓名贾梦洁学号 201107010330专业班级计1103实验日期2013年12月12日成绩指导教师卫凡一、实验目的1.熟练掌握变量的定义和赋值。

2. 掌握各种运算符。

3. 掌握流程控制语句，尤其是条件语句和循环预语句。

二、实验环境硬件环境：PC机软件环境：操作系统为Microsoft Windows 2000或以上版本。

数据库管理系统为Microsoft SQL Server 2000标准版或企业版。

三、实验内容1. 变量的定义与输出。

2. 条件结构的使用。

四、实验步骤1.创建一名为Student_name的局部变量，并在select语句中使用该变量查找“张强”同学所选课程的成绩情况，给出相应的语句段和运行结果。

2.将选修课程号为720的同学的成绩增加3分，同时使用全局变量@@rowcount检查获得更新的数据行数目。

修改前:修改后:4.利用学生_课程数据库中的SC表查找学生的成绩信息并判断是否有某学生的某门课程的成绩在90分以上的信息，若有，则显示学号、姓名、课程名和成绩，否则输出信息，说明“不存在成绩大于90分的学生！”。

5.从学生_课程数据库中查询所有学生选课成绩情况：姓名、课程名、成绩。

要求：将学生的百分制转换为5级评分制，成绩大于等于90显示为“优秀”，成绩在80-89分显示为“良好”，“70-79”分显示为“中等”，成绩在60-69显示为“及格”，60以下显示为“不及格”，没成绩的显示为“未考”。

并且输出记录按下列要求排序：先按学号升序，再按课程号升序，最后按成绩降序。

按学号升序排序:按课程号升序排序:order by SC.课程号按成绩降序排序:order by 成绩 desc6.利用学生_课程数据库中的SC表，编程实现：如果所有学生所有课程的平均成绩高于80分，使用while循环就将每门成绩减5分，然后查找所有学生所有课程中的最高分，如果最高分大于或等于85分，while循环重新启动并再次将每门成绩减5分并继续查找所有学生所有课程中的最高分，一直循环到最高分低于85分循环停止，然后退出。

（二 〇 一 五 年 五 月《数据库原理及应用》实验报告学校代码： 10128 学 号： ************题 目：数据库的安全性 ****：** 学 院：理学院 系 别：数学系专 业：信息与计算科学 班 级：信计12-2 ****：**1.数据库用户的管理（1）掌握Windows登录名的简历与删除方法；（2）掌握SQL Server登录名的建立与删除方法；（3）掌握数据库用户创建与管理的方法。

2.服务器角色的应用（1）掌握服务器角色的用法。

3.数据库权限管理（1）掌握数据库权限的分类；（2）掌握数据库权限授予、拒绝和撤销的方法。

二、实验内容1.数据库用户的管理。

1）Windows登录名(1)使用界面方式创建Windows身份模式的登录名。

(2)使用命令方式创建Windows身份模式的登录名。

2）SQL Server登录名(1)使用界面方式创建SQL Server登录名。

(2)以命令方式创建SQL Server登录名。

3）数据库用户(1)使用界面方式创建YGGL的数据库用户。

(2)使用命令方式创建YGGL的数据库用户。

2.服务器角色的应用。

1）固定服务器角色(1)通过资源管理器添加固定服务器角色成员。

(2)使用系统存储过程sp_addsrvrolemember将登录名添加到固定服务器角色中。

2）固定数据库角色(1)以界面方式为固定数据库角色添加成员。

(2)使用系统存储过程sp_addsrvrolemember将YGGL的数据库用户添加到固定数据库角色db_owner中。

3）自定义数据库角色(1)以界面方式创建自定义数据库角色，并为其添加成员。

(2)以命令方式创建自定义数据库角色。

3.数据库权限管理。

1）授予数据库权限(1)以界面方式授予数据库用户YGGL数据库上的CREATE TABLE权限。

(2)以界面方式授予数据库用户在Employees表上的SELECT、DELETE权限。

(3)以命令方式授予用户yan在YGGL数据库上的CREATE TABLE权限。

t-sql 标准T-SQL（Transact-SQL）是一种面向关系数据库管理系统（RDBMS）的编程语言，主要用于Microsoft SQL Server。

下面是关于T-SQL标准的基本概念和特性的详细介绍：1. T-SQL基本概念：1.1 定义：T-SQL是Microsoft SQL Server上的一种SQL方言，它扩展了标准的SQL语言，提供了更丰富的功能，包括存储过程、触发器、视图、函数等。

1.2 特点：•过程性编程：T-SQL支持过程性编程，允许开发者创建存储过程、触发器等数据库对象。

•批量操作：提供了丰富的数据操作语句，支持批量处理，提高了效率。

•事务控制：支持事务控制，包括BEGIN TRANSACTION、COMMIT、ROLLBACK 等语句。

2. T-SQL语言特性：2.1 数据查询语言（DQL）：T-SQL提供了丰富的查询语言，包括SELECT语句，用于检索数据库中的数据。

SELECT column1, column2 FROM table WHERE condition;2.2 数据操作语言（DML）：T-SQL包括INSERT、UPDATE、DELETE等语句，用于对数据库中的数据进行增、删、改操作。

INSERT INTO table(column1, column2) VALUES(value1, value2);2.3 数据定义语言（DDL）：T-SQL支持CREATE、ALTER、DROP等语句，用于定义数据库、表结构等。

CREATE TABLE table_name (column1 datatype, column2 datatype, ...);2.4 过程性编程：T-SQL允许创建存储过程、触发器、函数等，以实现更复杂的业务逻辑。

CREATE PROCEDURE procedure_name ASBEGIN--T-SQL statementsEND;2.5 事务控制：T-SQL提供了BEGIN TRANSACTION、COMMIT、ROLLBACK等语句，用于控制事务的开始、提交和回滚。

、实验目的掌握Windows 认证模式下数据库用户帐号的建立与取消方法;二、实验环境SQL Server 企业版 三、实验学时 2学时四、实验原理：1. Microsoft? SQL Server? 可以在两种安全(身份验证)模式: (1) Windows 身份验证模式(Windows 身份验证)Windows 身份验证模式使用户得以通过Microsoft Windows NT? 4.0或 Windows? 2000用户帐户进行连接。

(2) 混合模式(Windows 身份验证和SQL Server 身份验证)混合模式使用户得以使用Windows 身份验证或 SQL Server 身份验证与 SQL Server实例连接。

在 Windows 身份验证模式或混合模式下， 通过 Windows NT4.0 或 Windows 2000用户帐户连接的用户可以使用信任连接。

SQL Sarver 安全性决縈树戶应用程序 SQL Serwara2. SQL S erver 的安全机制(1)服务器级别所包含的安全对象主要有登录名、固定服务器角色等。

其中登录名用 于登录数据库服务器，而固定服务器角色用于给登录名赋予相应的服务器权限。

中的登录名主要有两种：第一种是Windows 登录名，第二种是 SQLServer 登录名。

Windows1. 2. 掌握混合模式下数据库用户帐号的建立与取消方法; 3. 掌握数据库用户权限的设置方法;4. 熟悉数据库数据库用户帐号的权限分配、回收等方法;5.了解数据库角色的分类、作用及使用方法。

YASN DSQLServer> 自伪雀证複式™e糧合橇式I[SOL 坠re 刁i 屈接登录YPSN D登录名对应 Windows 验证模式，该验证模式所涉及的账户类型主要有 Windows 本地用户账户、 Windows 域用户账户、 Windows 组。

SQL Server 登录名对应 SQL Server 验证模式，在该验 证模式下，能够使用的账户类型主要是SQL Server 账户。

信息工程学院实验报告课程名称：《数据库原理》实验项目名称：数据库的完整性和安全性一、实 验 目 的:（1）掌握数据库约束的概念；（2）熟悉SQL SERVER 的完整性约束技术。

（3）了解SQL SERVER 的违反完整性处理措施。

（4）了解登录账户的管理理念与具体方法。

（5）了解数据库用户的管理的要则。

（6）了解用户权限管理的内涵与方法。

二、实 验 设 备 与 器 件 Win7 +Sql server 2008 三、实 验 内 容 与 步 骤（一）测试完整性运行附录中的SQL 语句，理解SQL 语句中包含的完整性定义。

然后执行下面的SQL 语句，看是否能正常运行，若无法执行，请说明原因。

1.对dept 表进行数据增删改，并检查完整性规则 Dept 已存在的完整性规则如下： dno CHAR(2)PRIMARY KEYdnameV ARCHAR(20) NOT NULL,UNIQUE(1)增加数据INSERT INTO dept V ALUES('D1','计科系');----正常插入INSERT INTO dept V ALUES('D2','电信系');----正常插入INSERT INTO dept V ALUES(NULL,'机械系'); ----违反dno 主键（NOT NULL ）规则INSERT INTO dept V ALUES('D2','机械系'); ----违反dno 主键（UNIQUE ）INSERT INTO dept V ALUES('D3',NULL); ----违反dname 的NOT NULL 规则INSERT INTO dept V ALUES('D3','计科系'); ----违反dname 的UNIQUE 规则INSERT INTO dept V ALUES('D3','机械系');----正常插入(2)删除数据DELETE FROM dept WHERE dno='D3';----正常删除(3)修改数据UPDA TE dept SET dname='计算机科学系' WHERE dno='D1';----正常修改UPDA TE dept SET dname='电信系' WHERE dno='D1'; ----违反dname的UNIQUE规则UPDA TE dept SET dname=NULL WHERE dno='D1'; 违反dname的UNIQUE规则2.对student表进行数据增删改，并检查完整性规则Student已存在完整性规则如下：sno CHAR(2) PRIMARY KEYsname V ARCHAR(20) NOT NULL,ssex CHAR(2) NOT NULL, CHECK(ssex in('男','女'))sage INT NOT NULL,dno CHAR(2) NOT NULL, FOREIGN KEY REFERENCES dept(dno)ON DELETE CASCADE ON UPDATE CASCADE(1)增加数据INSERT INTO student V ALUES('S1','张刚','男',20,'D1');----正常插入INSERT INTO student V ALUES('S2','李梅','女',21,'D2');----正常插入INSERT INTO student V ALUES('S2','吴敏','男',20,'D1'); ----正常插入INSERT INTO student V ALUES(NULL,'吴敏','男',20,'D1'); ----违反sno 的主键（NOT NULL）规则INSERT INTO student V ALUES('S3','吴敏','男',NULL,'D1'); 违反sage 的主键（NOT NULL）规则INSERT INTO student V ALUES('S3','吴敏','M',20,'D1'); 违反ssex 的CHECK规则INSERT INTO student V ALUES('S3','吴敏','男',20,'D3'); ----正常插入INSERT INTO student V ALUES('S3','吴敏','男',20,'D1');----正常插入(2)删除数据DELETE FROM student WHERE sno='S3'; ----正常删除(3)修改数据UPDA TE student SET sname='赵强',dno='D2' WHERE sno='S1'-----正常修改UPDA TE student SET ssex='F' WHERE sno='S1'; -----违反ssex的CHECK 规则UPDA TE student SET sno='S2' WHERE sno='S1'; -----违反sno的主键（UNIQUE）规则UPDA TE student SET dno='D3' WHERE sno='S1'; 违反dno 的外键规则UPDA TE dept SET dno='D3' WHERE dno='D1';----检查dno的外键ON UPDATE规则，观察运行后效果DELETE FROM dept WHERE dno='D2';----检查dno的外键ON DELETE规则，观察运行后效果（二）使用规则实现数据完整性（1）在查询分析器中，利用命令（CREATE RULE），创建一个关于年龄(sage)约束的规则，将“sage”列的值约束在0~200之间；然后将所创建的规则绑定到“sage”列（提示：用命令Sp_bindrule）。

sql 数据库实验九：T-SQL语言、存储过程及数据库的安全性实验九：T-SQL语言、存储过程及数据库的安全性一、实验目的1. 掌握数据变量的使用；2. 掌握各种控制语句及系统函数的使用；3. 掌握存储过程的实现；4. 掌握混合模式下数据库用户帐号的建立与取消方法；5. 掌握数据库用户权限的设置方法；6. 掌握在企业管理器中进行备份、恢复操作的步骤；二、实验学时2学时三、实验要求1. 了解T-SQL支持的各种基本数据类型及变量的使用；2. 了解T-SQL各种运算符、控制语句及函数的功能及使用方法；3. 掌握存储过程的编写和运行方法4. 熟悉数据库完全备份及恢复的方法； 5. 了解SQL Server 2021系统安全；6. 熟悉数据库用户、服务器角色及数据库角色的用法7. 完成实验报告。

四、实验内容以student数据库为基础数据，完成以下内容 1. 变量及函数的使用：1）创建局部变量@xh（学号）并赋值，然后输出数据表student中所有等于该值的学生的学号、姓名、性别、所属院系及年龄等信息；2）将学号为202115008的学生的姓名赋值给变量@name；3）计算学生信息表student中学生最高年龄和最低年龄之差，并将结果付给@cz；4）定义一函数，按系别统计当前所有学生的平均年龄，并调用该函数。

5）定义一函数，通过姓名查询某学生的学号、性别、年龄、系别、选修课程名及成绩。

2. 编写并执行存储过程(1) 创建一个无参存储过程pr_StuScore，查询以下信息：班级、学号、姓名、性别、课程名称、考试成绩。

(2) 创建一个带参数的存储过程stu_info，该存储过程根据传入的学生编号在student表中查询此学生的选修课程及成绩信息。

(3) 创建一个带参数的存储过程StuScoreInfo2，该存储过程根据传入的学生编号和课程名称查询以下信息：班级、学号、姓名、性别、课程名称、考试成绩。

(4) 编写带参数的存储过程，根据传入的课程名称统计该课程的平均成绩。

《数据库原理与应用》课程实验指导书苏州工业职业技术学院信息工程系2008．1目录目录 (Ⅰ)前言………………………………………………………………………………………实验一初识SQL Server 2000…………………………………………………实验二数据库的创建和管理…………………………………………………实验三表的创建、管理及数据操作……………………………………………实验四单表查询……………………………………………………………实验五连接查询…………………………………………………………实验六嵌套查询……………………………………………………实验七视图的创建和管理……………………………………………………实验八游标的使用……………………………………………………实验九T-SQL语言编程基础…………………………………………………实验十函数…………………………………………………………………………实验十一索引、默认值约束和默认值对象………………………………实验十二数据完整性的实现…………………………………………………实验十三存储过程…………………………………………………实验十四触发器…………………………………………………实验十五系统安全管理…………………………………………………实验十六数据备份、恢复和导入导出………………………………………实验十七综合训练…………………………………………………前言数据库技术是计算机学科中的一个重要分支，发展迅速、应用非常广泛，几乎涉及了所有应用领域。

例如，办公系统、生产管理、财务管理、人事管理、工业管理等，都广泛应用了数据库技术。

本实验指导书是《数据库原理与应用》课程的配套实验资料。

通过安排实验及布置的任务，让学生熟练掌握使用关系数据库管理系统SQL Server 2000进行数据库及表的创建和管理、查询、Transact—SQL程序设计、各类约束的创建及使用、视图及索引的创建与管理、SQL Server 的存储过程的创建和管理、SQL Server 的触发器创建和管理、SQL Server的安全性管理、数据库的备份及恢复。

实验9 数据库的安全性1.实验目的（１）掌握windows登录名的建立与删除方法；（２）掌握SQL Server登录名的建立与删除方法；（３）掌握数据库用户创建与管理的方法。

2.实验准备（１）了解windows身份验证模式与SQL Server身份验证模式的原理；（２）了解数据库用户的建立与删除方法。

3.实验步骤（１）windows登录名。

①使用界面方式创建Windows身份模式的登录名。

方法：第1步以管理员身份登录到Windows，选择“开始”→打开“控制面板”中的“性能和维护”→选择其中的“管理工具”→双击“计算机管理”，进入“计算机管理”窗口。

在该窗口中选择“本地用户和组”中的“用户”图标右击，在弹出的快捷菜单中选择“新用户”菜单项，打开“新用户”窗口，新建一个用户zheng。

第2步以管理员身份登录到SQL Server Management Studio，在“对象资源管理器，，中选择“安全性”→右击“登录名”，在弹出的快捷菜单中选择“新建登录名”菜单项。

在“新建登录名”窗口中单击“添加”按钮添加Windows 用户名zheng。

选择“Windows身份验证模式”，单击“确定”按钮完成。

②使用命令方式创建windows身份模式的登录名，语句如下USE MASTERGOCREATE LOGIN[0BD7E57C949A420\ZHENG]FROM WINDOWS【思考与练习】使用用户zheng登陆windows，然后启动SQL Server Management Studio，以windows身份验证模式连接。

看看与以系统管理员身份登陆时有什么不同。

（２）SQL Server登录名。

①使用界面方式创建SQL Server登录名。

方法：在对象资源管理器的“安全性”中，右击“登录名”，在弹出的快捷菜单中选择“新建登录名”菜单项。

在“新建登录名”窗口中输入要创建的登录名“yan”，并选择“SQL Server身份验证模式”，输入密码，取消选择“用户在下次登录时必须更改密码”选项，单击“确定”按钮。

SQL Server中存储过程的安全问题SQL Server是一个c/s模式的强大的关系型数据库管理系统，使用的是SQL语言。

是一种应用领域十分广泛的网络数据库。

对网络安全了解的朋友应该知道，SQLServer的入侵最常见的就是利用Sa空密码入侵了，网上关于这种入侵的文章多如牛毛，有些这样的文章个人认为讲解的并不详细，甚至有些是错误的，所以经常能在一些安全论坛看到类似的提问，而且有些也得不到很好的解答，下面我将详细介绍我的一些经验和总结，与大家分享。

首先让我们来了解一下SQLServer中的存储过程。

存储过程是存储在SQLServer中的预先写好的SQL语句集合。

存储过程分为三类：系统提供的存储过程，用户定义的存储过程和扩展存储过程。

系统提供的存储过程是在安装SQLServer时创建的存储过程，名字以“sp_”开头。

用户定义的存储过程是用SQLServer的使用者编写的存储过程。

扩展存储过程则是对动态链接库(DLL)函数的调用，主要是用于客户端与服务器端或客户端之间进行通信的，与一般动态链接库不同的是它们直接运行在SQLServer分配的内存地址内，其中危险性最高的扩展存储过程就是xp_cmdshell了，它可以执行操作系统的任何指令。

上面了解了什么是存储过程，我们再来看一下什么是Sa。

Sa是SQLServer的管理员帐号，拥有最高权限，它可以执行扩展存储过程，并获得返回值。

这样你应该明白为什么得到Sa，就可以得到系统的最高权限了吧。

可是，有的时候情况并不是这样，下面我们以在局域网中的SQLServer入侵介绍一下SQLServer的攻与防。

使用扫描工具扫描得到一个sa为空的机器，使用SQL Exec连接上，发现命令并不能用(如图1)。

图1怀疑是扩展存储过程xp_cmdshell在查询分析器里删除，语句为：exec sp_dropextendedproc 'xp_cmdshell'，于是打开自己机的SQLServer的查询分析器，连上对方的SQLServer，对对方的xp_cmdshell进行恢复，语句为：exec sp_addextendedproc 'xp_cmdshell', 'Xplog70.dll' (如图2)。