09实验三数据库的安全性.docx
《09实验三数据库的安全性.docx》由会员分享,可在线阅读,更多相关《09实验三数据库的安全性.docx(13页珍藏版)》请在冰豆网上搜索。
09实验三数据库的安全性
实验三:
数据库的安全性
一、实验目的
熟悉通过SQL对数据进行安全性控制。
二、实验平台
SQLServer2008
三、实验内容和要求
1、掌握Windows登录名和SQLSERVER登录名的建立及删除方法;
2、掌握数据库用户创建及管理的方法;
3、掌握服务器角色的用法;
4、掌握数据库权限授予、拒绝和撤销的方法;
四、实验步骤
(一)授权及回收。
[例1]授权。
在SQLSever中建立多个用户,给他们赋予不同的权限,然后查看是否真正拥有被授予的权限了。
1)建立用户U1、U2、U3、U4、U5、U6、U7。
2)以系统管理员身份对这7个用户进行授权。
[例1-1]把查询Student表的权限授给用户U1。
GRANTSELECT
ONStudent
TOU1;
[例1-2]把对Student表和Course表的全部操作权限授予用户U2和U3。
GRANTALLPRIVILEGES
ONStudent
TOU2,U3;
GRANTALLPRIVILEGES
ONCourse
TOU2,U3;
[例1-3]把对表SC的查询权限授予所有用户。
GRANTSELECT
ONSC
TOPUBLIC;
[例1-4]把查询Student表和修改学生学号的权限授给用户U4。
GRANTUPDATE(Sno),SELECT
ONStudent
TOU4;
[例1-5]把对表SC的INSERT权限授予U5,并允许U5将此权限再授予其他用户。
GRANTINSERT
ONSC
TOU5
WITHGRANTOPTION;
[例1-6]用户U5将对表SC的INSERT权限授予U6,并允许将权限转授给其他用户。
首先应该以U5的身份重新登录数据库,然后再进行授权。
GRANTINSERT
ONSC
TOU6
WITHGRANTOPTION;
[例1-7]用户U6将对表SC的INSERT权限授予U7。
首先应该以U6的身份重新登录数据库,然后再进行授权。
GRANTINSERT
ONSC
TOU7;
3)在授权之后验证用户是否拥有了相应的权限。
在执行完上面七个语句之后,我们可以分别以不同用户的身份登录数据库,进行相关操作,检查系统是否许可。
例如:
[例1-8]U4更新Student表的学生学号。
UPDATEStudent
SETSNO=‘95101’
WHERESNO=‘95001’;
显示更新1条记录,即U4用户拥有了对Student表Sno的更新权限。
[例1-9]U7向SC表中插入一条数据:
(95020,20,88)。
INSERTINTOSCVALUES(‘95020’,’20’,88);
显示插入1条记录,即用户U7拥有了对SC表的插入权限。
[例2]回收权限。
将[例1]授予的权限部分收回,检查回收后,该用户是否真正丧失了对数据的相应权限。
1)回收权限。
[例2-1]收回用户U4修改学生学号的权限。
当前用户为SYSTEM,直接执行下列语句:
REVOKEUPDATE(SNO)
ONStudent
FROMU4;
[例2-2]收回所有用户对表SC的查询权限。
REVOKESELECT
ONSC
FROMPUBLIC;
[例2-3]收回用户U5对SC表的INSERT权限。
将权限INSERT授予给用户U5时,允许该用户将权限再授予给其他用户;之后,用户U5将INSERT权限转授给了U6,U6又将权限转授给U7。
因此,将用户U5的INSERT权限收回的时候必须级联收回,不然系统将拒绝执行该命令:
REVOKEINSERT
ONTABLESC
FROMU5CASCADE;
执行该命令之后,U6从U5处获得的权限也将被收回,U7从U6处获得的权限也将同时被收回。
2)在回收权限之后验证用户是否真正丧失了该权限。
[例2-4]用户U3查询表SC。
首先用户U3重新登录数据库TEST。
执行命令:
SELECT*FROMSC;
执行失败,该用户不拥有此权限。
证实用户U3丧失了对表SC查询的权限。
[例2-5]用户U6向表SC中插入一条记录(‘95035’,’3’,92)。
首先用户U6重新登录数据库TEST。
执行命令:
INSERTINTOSCVALUES(‘95035’,’3’,92);
执行失败,该用户不拥有此权限。
证实用户U6丧失了从用户U5处获得的对表SC插入的权限。
(二)数据库角色。
[例3]角色的创建及授权。
[例3-1]创建角色G1。
CREATEROLEG1;
[例3-2]给角色授权,使得角色G1拥有对Student表的SELECT、UPDATE、INSERT的权限。
GRANTSELETE,UPDATE,INSERT
ONSTUDENT
TOG1;
[例3-3]将用户U1,U3,U7添加到角色G1中来。
EXECsp_addrolemember‘G1’,’u1’
EXECsp_addrolemember‘G1’,’u2’
EXECsp_addrolemember‘G1’,’u3’
将U1,U3,U7添加到角色G1中之后,U1,U3,U7就拥有了G1拥有的所有权限,即对Student表的SELECT、UPDATE、INSERT的权限。
[例3-4]对角色G1的权限进行修改,增加对Student表的DELETE权限,并回收对Student表的INSERT权限。
GRANTDELETE
ONSTUDENT
TOG1;
REVOKEINSERT
ONSTUDENT
FROMG1;
[例3-5]删除角色G1。
DROPROLEG1;
五、实验任务
利用实验二建立的students数据库和其中的student、course、sc表,完成下列操作:
1、建立SQLServer身份验证模式的登录账户:
log1、log2和log3;(命令方式创建)
CREATELOGINlog1WITH
PASSWORD='821742'
GO
CREATELOGINlog2WITH
PASSWORD='821742'
GO
CREATELOGINlog3WITH
PASSWORD='821742'
GO
2、用log1新建一个数据库引擎查询,这时在“可用数据库”下列列表框中是否能选中students数据库?
为什么?
3、将log1、log2和log3映射为students数据库中的用户,用户名同登录名;(命令方式创建)
USEstudents
GO
CREATEUSERlog1
FORLOGINlog1
USEstudents
GO
CREATEUSERlog2
FORLOGINlog2
USEstudents
GO
CREATEUSERlog3
FORLOGINlog3
4、在log1建立的数据库引擎查询中,在“可用数据库”下列列表框中选中students数据库,是否成功?
为什么?
能,因为授予了权限。
5、在log1建立的数据库引擎查询中,执行下述语句,能否成功?
为什么?
select*fromcourse
不能,因为Log1所在的数据库没有赋予查询权限。
6、授予log1具有course表的查询权限,授予log2具有course表的插入权限;
7、用log2建立一个数据库引擎查询,然后执行下述两条语句,能否成功?
为什么?
Insertintocoursevalues(‘c101’,’java’,2,3)
Insertintocoursevalues(‘c102’,’操作系统’,4,4)
能,因为Log2赋予了插入权限。
再次执行下述语句,能否成功?
为什么?
select*fromcourse
不能,因为log2只有插入的权限,没有查询权限。
8、在log1建立的数据库引擎查询中,再次执行下述语句:
select*fromcourse
这次能否成功?
为什么?
能,因为log1赋予的是查询功能。
让log1执行下述语句,能否成功?
为什么?
Insertintocoursevalues('c103','软件工程',4,6)
不能,因为Log1所在的数据库没有赋予查询权限。
9、在students数据库中建立用户角色:
role1,并将log1和log2添加到此角色中。
10、授予role1角色具有course表的插入、删除和查询权限;
11、在log1建立的数据库引擎查询中,再次执行下述语句,能否成功?
为什么?
Insertintocoursevalues(‘c103’,’软件工程’,4,6)
不能,因为Log1所在的数据库没有赋予查询权限。
12、在log2建立的数据库引擎查询中,再次执行下述语句,能否成功?
为什么?
select*fromcourse
不能,因为Log2所在的数据库没有赋予查询权限。
13、用log3建立一个数据库引擎查询,并执行下述语句,能否成功?
为什么?
select*fromcourse
不能,因为Log3所在的数据库没有赋予查询权限。
14、将log3添加到db_datareader角色中,并在log3建立的数据库引擎查询中再次执行下述语句,能否成功?
为什么?
select*fromcourse
15、在log3建立的数据库引擎查询中,执行下述语句,能否成功?
为什么?
Insertintocoursevalues(‘c104’,’C语言’,3,1)
不能,因为Log3所在的db_datareader角色中没有赋予查询权限。
16、在students数据库中,授予public角色具有course表的查询和插入权限;
17、在log3建立的数据库引擎查询中,再次执行下述语句,能否成功?
为什么?
Insertintocoursevalues(‘c104’,’C语言’,3,1)
能,因为log3所属的public角色被赋予了插入权限。
升级会员 