201509-实验三：数据库的安全性

实验三：数据库的安全性

一、实验目的

熟悉通过SQL对数据进行安全性控制。

二、实验平台

SQL Server 2008

三、实验内容和要求

1、掌握Windows登录名和SQL SERVER登录名的建立与删除方法；

2、掌握数据库用户创建与管理的方法；

3、掌握服务器角色的用法；

4、掌握数据库权限授予、拒绝和撤销的方法；

四、实验步骤

（一）授权与回收。

[例1]授权。在SQL Sever 中建立多个用户，给他们赋予不同的权限，然后查看是否真正拥有被授予的权限了。

1）建立用户U1、U2、U3、U4、U5、U6、U7。

2）以系统管理员身份对这7个用户进行授权。

[例1-1]把查询Student 表的权限授给用户U1。

GRANT SELECT

ON Student

TO U1;

[例1-2]把对Student 表和Course 表的全部操作权限授予用户U2 和U3。

GRANT ALL PRIVILEGES

ON Student

TO U2,U3;

GRANT ALL PRIVILEGES

ON Course

TO U2,U3;

[例1-3]把对表SC 的查询权限授予所有用户。

GRANT SELECT

ON SC

TO PUBLIC;

[例1-4]把查询Student 表和修改学生学号的权限授给用户U4。

GRANT UPDATE (Sno) , SELECT

ON Student

TO U4;

[例1-5]把对表SC 的INSERT 权限授予U5，并允许U5 将此权限再授予其他用户。

GRANT INSERT

ON SC

TO U5

WITH GRANT OPTION;

[例1-6]用户U5 将对表SC 的INSERT 权限授予U6,并允许将权限转授给其他用户。

首先应该以U5 的身份重新登录数据库，然后再进行授权。

GRANT INSERT

ON SC

TO U6

WITH GRANT OPTION;

[例1-7]用户U6 将对表SC 的INSERT 权限授予U7。

首先应该以U6 的身份重新登录数据库，然后再进行授权。

GRANT INSERT

ON SC

TO U7;

3）在授权之后验证用户是否拥有了相应的权限。

在执行完上面七个语句之后，我们可以分别以不同用户的身份登录数据库，进行相关操作，检查系统是否许可。例如：

[例1-8]U4 更新Student 表的学生学号。

UPDATE Student

SET SNO = ‘95101’

WHERE SNO = ‘95001’;

显示更新 1 条记录，即U4 用户拥有了对Student 表Sno 的更新权限。[例1-9]U7 向SC 表中插入一条数据：（95020，20，88）。

INSERT INTO SC V ALUES(‘95020’,’20’,88);

显示插入 1 条记录，即用户U7 拥有了对SC 表的插入权限。

[例2]回收权限。将[例1]授予的权限部分收回，检查回收后，该用户是否真正丧失了对数据的相应权限。

1）回收权限。

[例2-1]收回用户U4 修改学生学号的权限。

当前用户为SYSTEM，直接执行下列语句：

REVOKE UPDATE (SNO)

ON Student

FROM U4;

[例2-2]收回所有用户对表SC 的查询权限。

REVOKE SELECT

ON SC

FROM PUBLIC;

[例2-3]收回用户U5 对SC 表的INSERT 权限。

将权限INSERT 授予给用户U5 时，允许该用户将权限再授予给其他用户；之后，用户U5 将INSERT 权限转授给了U6，U6 又将权限转授给U7。因此，将用户U5 的INSERT 权限收回的时候必须级联收回，不然系统将拒绝执行该命令：

REVOKE INSERT

ON TABLE SC

FROM U5 CASCADE;

执行该命令之后，U6 从U5 处获得的权限也将被收回，U7 从U6 处获得的权限也将同时被收回。

2）在回收权限之后验证用户是否真正丧失了该权限。

[例2-4]用户U3 查询表SC。

首先用户U3 重新登录数据库TEST。执行命令：

SELECT *FROM SC;

执行失败，该用户不拥有此权限。证实用户U3 丧失了对表SC 查询的权限。[例2-5]用户U6 向表SC 中插入一条记录(‘95035’,’3’,92)。

首先用户U6 重新登录数据库TEST。执行命令：

INSERT INTO SC V ALUES(‘95035’,’3’,92);

执行失败，该用户不拥有此权限。证实用户U6 丧失了从用户U5 处获得的对表SC 插入的权限。

（二）数据库角色。

[例3]角色的创建与授权。

[例3-1]创建角色G1。

CREATE ROLE G1;

[例3-2]给角色授权，使得角色G1 拥有对Student 表的SELECT、UPDATE、INSERT 的权限。

GRANT SELETE,UPDATE,INSERT

ON STUDENT

TO G1;

[例3-3]将用户U1,U3,U7 添加到角色G1 中来。

EXEC sp_addrolemember ‘G1’,’u1’

EXEC sp_addrolemember ‘G1’,’u2’

EXEC sp_addrolemember ‘G1’,’u3’

将U1,U3,U7 添加到角色G1 中之后，U1,U3,U7 就拥有了G1 拥有的所有权限，即对Student 表的SELECT、UPDATE、INSERT 的权限。

[例3-4]对角色G1 的权限进行修改，增加对Student 表的DELETE 权限，并回收对Student表的INSERT 权限。

GRANT DELETE

ON STUDENT

TO G1；

REVOKE INSERT

ON STUDENT

FROM G1;

[例3-5]删除角色G1。

DROP ROLE G1;

五、实验任务

利用实验二建立的students数据库和其中的student、course、sc表，完成下列操作：

1、建立SQL Server身份验证模式的登录账户：log1、log2和log3；（命令方式创建）