《201509试验三数据库的安全性》由会员分享,可在线阅读,更多相关《201509试验三数据库的安全性(12页珍藏版)》请在金锄头文库上搜索。
1、实验三:数据库的安全性一、实验目的熟悉通过 SQL 对数据进行安全性控制。二、实验平台SQL Server 2008三、实验内容和要求1、掌握 Windows 登录名和 SQL SERVER 登录名的建立与删除方法;2、掌握数据库用户创建与管理的方法;3、掌握服务器角色的用法;4、掌握数据库权限授予、拒绝和撤销的方法;四、实验步骤(一)授权与回收。例1授权。在 SQL Sever 中建立多个用户,给他们赋予不同的权限,然后查看 是否真正拥有被授予的权限了。1) 建立用户 U1、U2、U3、U4、U5、U6、U7。2) 以系统管理员身份对这 7 个用户进行授权。 例 1-1把查询 Student
2、 表的权限授给用户 U1。GRANT SELECTON StudentTO U1; 例 1-2把对 Student 表和 Course 表的全部操作权限授予用户 U2 和 U3。 GRANT ALL PRIVILEGESON StudentTO U2,U3;GRANT ALL PRIVILEGESON CourseTO U2,U3; 例 1-3把对表 SC 的查询权限授予所有用户。GRANT SELECTON SCTO PUBLIC;例 1-4把查询 Student 表和修改学生学号的权限授给用户 U4。GRANT UPDATE (Sno) , SELECTON StudentTO U4; 例
3、 1-5把对表 SC 的 INSERT 权限授予 U5,并允许 U5 将此权限再授予其他 用户。GRANT INSERTON SCTO U5WITH GRANT OPTION; 例 1-6用户 U5 将对表 SC 的 INSERT 权限授予 U6,并允许将权限转授给其 他用户。首先应该以 U5 的身份重新登录数据库,然后再进行授权。GRANT INSERTON SCTO U6WITH GRANT OPTION; 例 1-7用户 U6 将对表 SC 的 INSERT 权限授予 U7。首先应该以 U6 的身份重新登录数据库,然后再进行授权。GRANT INSERTON SCTO U7;3) 在授权
4、之后验证用户是否拥有了相应的权限。 在执行完上面七个语句之后,我们可以分别以不同用户的身份登录数据库, 进行相关操作,检查系统是否许可。例如: 例 1-8U4 更新 Student 表的学生学号。UPDATE StudentSET SNO = 95101WHERE SNO = 95001;显示更新 1 条记录,即 U4 用户拥有了对 Student 表 Sno 的更新权限。 例 1-9U7 向 SC 表中插入一条数据:( 95020,20, 88)。INSERT INTO SC VALUES(95020, 20,88);显示插入 1 条记录,即用户 U7 拥有了对 SC 表的插入权限。例 2回
5、收权限。将例 1授予的权限部分收回, 检查回收后, 该用户是否真正丧 失了对数据的相应权限。1) 回收权限。 例 2-1收回用户 U4 修改学生学号的权限。当前用户为 SYSTEM ,直接执行下列语句:REVOKE UPDATE (SNO)ON StudentFROM U4; 例 2-2收回所有用户对表 SC 的查询权限。REVOKE SELECTON SCFROM PUBLIC; 例 2-3收回用户 U5 对 SC 表的 INSERT 权限。将权限 INSERT 授予给用户 U5 时,允许该用户将权限再授予给其他用 户;之后,用户 U5 将 INSERT 权限转授给了 U6, U6 又将权限
6、转授给 U7。 因此,将用户 U5 的 INSERT 权限收回的时候必须级联收回,不然系统将拒绝 执行该命令:REVOKE INSERTON TABLE SCFROM U5 CASCADE;执行该命令之后, U6 从 U5 处获得的权限也将被收回, U7 从 U6 处获得的权 限也将同时被收回。2) 在回收权限之后验证用户是否真正丧失了该权限。 例 2-4用户 U3 查询表 SC。首先用户 U3 重新登录数据库 TEST。执行命令:SELECT *FROM SC; 执行失败,该用户不拥有此权限。证实用户 U3 丧失了对表 SC 查询的权限。 例 2-5用户 U6 向表 SC 中插入一条记录 (
7、95035,3,92)。首先用户 U6 重新登录数据库 TEST。执行命令:INSERT INTO SC VALUES( 95035 ,3,92); 执行失败,该用户不拥有此权限。证实用户 U6 丧失了从用户 U5 处获得的对 表 SC 插入的权限。(二)数据库角色。 例 3角色的创建与授权。 例 3-1创建角色 G1。CREATE ROLE G1;例 3-2给角色授权,使得角色 G1 拥有对 Student 表的 SELECT、UPDATE、 INSERT 的权限。GRANT SELETE,UPDATE,INSERTON STUDENTTO G1; 例 3-3将用户 U1,U3,U7 添加到
8、角色 G1 中来。EXEC sp_addrolemember G1,u1EXEC sp_addrolemember G1,u2EXEC sp_addrolemember G1,u3将 U1,U3,U7 添加到角色 G1 中之后, U1,U3,U7 就拥有了 G1 拥有的所 有权限,即对 Student 表的 SELECT、 UPDATE、INSERT 的权限。例 3-4对角色 G1 的权限进行修改,增加对 Student 表的 DELETE 权限,并 回收对 Student表的 INSERT 权限。GRANT DELETEON STUDENTTO G1;REVOKE INSERTON STUD
9、ENTFROM G1; 例 3-5删除角色 G1。DROP ROLE G1;五、实验任务利用实验二建立的 students数据库和其中的 student、course、 sc 表,完成下 列操作:1、建立 SQL Server身份验证模式的登录账户: log1、log2和 log3;(命令方式 创建)CREATE LOGIN log1 WITHPASSWORD =821742GOCREATE LOGIN log2 WITHPASSWORD =821742GOCREATE LOGIN log3 WITHPASSWORD =821742GO2、用 log1 新建一个数据库引擎查询,这时在“可用数据
10、库”下列列表框中是否 能选中 students数据库?为什么?3、将 log1、log2 和log3 映射为 students数据库中的用户, 用户名同登录名; 令方式创建)USE studentsGOCREATE USER log1FOR LOGIN log1USE studentsGOCREATE USER log2FOR LOGIN log2USE studentsGOCREATE USER log3FOR LOGIN log34、在 log1 建立的数据库引擎查询中, 数据库,是否成功?为什么? 能,因为授予了权限。5、在 log1 建立的数据库引擎查询中, select * from
11、 course在“可用数据库”下列列表框中选中执行下述语句,能否成功?为什么?不能,因为 Log1 所在的 数据库没有赋予查询权限。students6、授予 log1 具有 course表的查询权限,授予 log2 具有 course表的插入权限;7、用 log2 建立一个数据库引擎查询,然后执行下述两条语句,能否成功?为什 么?Insert into course values(c101,java,2,3)Log2 赋予了插入权限。Insert into course values(c102,操作系统 ,4,4)能,因为 再次执行下述语句,能否成功?为什么? select * from co
12、urse不能,因为 log2 只有插入的权限,没有查询权限。8、在 log1 建立的数据库引擎查询中,再次执行下述语句: select * from course 这次能否成功?为什么?能,因为log1 赋予的是查询功能。让 log1 执行下述语句,能否成功?为什么?Insert into course values( c103,软件工程 ,4,6)不能,因为 Log1 所在的 数据库没有赋予查询权限。9、在 students数据库中建立用户角色: role1,并将 log1 和 log2 添加到此角色中。10、授予 role1 角色具有 course表的插入、删除和查询权限;11、在 log
13、1建立的数据库引擎查询中, 再次执行下述语句, 能否成功?为什么? Insert into course values(c103,软件工程 ,4,6)不能,因为 Log1 所在的 数据库没有赋予查询权限。12、在 log2建立的数据库引擎查询中, 再次执行下述语句, 能否成功?为什么? select * from course不能,因为 Log2 所在的 数据库没有赋予查询权限。13、用 log3 建立一个数据库引擎查询,并执行下述语句,能否成功?为什么? select * from course不能,因为 Log3 所在的 数据库没有赋予查询权限。14、将 log3 添加到 db_datareader角色中,并在 log3 建立的数据库引擎查询中再 次执行下述语句,能否成功?为什么?select * from course
