第06章 数据库保护第一.ppt

系统预定义角色 sysadmin：具有系统管理员全部权限的角色。 serveradmin：负责配置数据库服务器的设置。 setupadmin：负责添加和删除链接的服务器。 securityadmin：负责管理服务器的登录。 processadmin：负责管理在SQL Server实例中运行的进程。 dbcreator：负责创建和改变数据库。 bulkadmin：可以执行BULK INSERT语句（数据库数据的装载）。 数据库预定义角色 db_owner：在数据库中有全部权限，即具有数据库管理员全部权限的角色。 db_accessadmin：负责数据库用户的管理。 db_securityadmin：负责数据库的安全管理，如负责权限管理、角色和角色成员资格管理等。 db_ddladmin：主要负责数据库的完整性和一致性检查及管理。 db_backupoperator：主要负责数据库的备份。 db_datareader：可以查询数据库中任何用户表中的所有数据。 db_datawriter：可以更改数据库中任何用户表中的所有数据。 db_denydatareader：不能查询数据库中任何用户表中的任何数据。 db_denydatawriter：不能更改数据库中任何用户表中的任何数据。 6.1.4　权限管理 概述 授予权限 授予语句权限 授予对象权限 查询授权 收回权限 禁止权限 角色与存取控制 （一）权限管理概述 管理权限包括授予或废除执行以下活动的用户权限： 创建数据库或数据库中的项目（语句权限） 处理数据和执行过程（对象权限） 授予系统预定义角色的权限（暗示性权限） （一）权限管理概述 在SQL Server 中使用GRANT REVOKE 和DENY 三种命令来管理权限。 GRANT 用来把权限授予某用户。 REVOKE 取消用户对某对象或语句的权限。 DENY 用来禁止用户对某对象或语句的权限。 （二）授予权限 授予语句权限 GRANT { ALL | statement_list } TO name_list 其中statement_list给出授权的语句列表，可以是： BACKUP DATABASE BACKUP LOG CREATE DATABASE CREATE DEFAULT CREATE FUNCTION CREATE PROCEDURE CREATE RULE CREATE TABLE CREATE VIEW （二）授予权限 授予对象权限 处理数据或执行存储过程时需要有相应对象的操作或执行权限，这些权限可以划分为： SELECT、INSERT、UPDATE和DELETE语句权限，它们可以应用到整个表或视图上。 SELECT和UPDATE 语句权限，它们可以有选择性地应用到表或视图中的单个列上。 SELECT权限，它们可以应用到用户定义函数。 INSERT和DELETE 语句权限，它们会影响整行，因此只可以应用到表或视图中，而不能应用到单个列上。 EXECUTE语句权限，即执行存储过程和函数的权限。 授予对象权限命令格式 GRANT ? { ALL [ PRIVILEGES ] | permission_list } {[ ( column_list ) ] ON { table | view }?| ON { table | view } [ ( column_list ) ]?| ON stored_procedure??| ON user_defined_function } TO name_list [ WITH GRANT OPTION ] [ AS { group | role } ] 其中有WITH GRANT OPTION 是指被授权用户可以将指定的对象权限授予其它用户 〔例〕把查询Student表权限授给用户U1 GRANT SELECT ON TABLE Student TO U1; 〔例〕把对表SC的查询权限授予所有用户 GRANT SELECT ON TABLE SC TO PUBLIC; 〔例〕把查询Student表和修改学生学号的权限授给用户U4 　 GRANT UPDATE(学号), SELECT ON TABLE Student TO U4; 注意:对属性列的授权时必须明确指出相应属性列名。 〔例〕把对表SC的INSERT权限授予U5用户，并允许他再将此权限授予其他用户 GRANT INSERT ON TABLE SC TO U5 WITH G