数据库系统及应用（第5版）课件 第9章 数据库安全

数据库安全管理概述马克扎克伯格酒店登记的用户数据信息如何保证数据库的安全问题数据库安全概述物理层重要的计算机系统必须在物理上受到保护，以防止入侵者强行进入或暗中潜入。人员层对用户的授权要严格掌握，以减少授权用户渎职、受贿，从而为入侵者提供访问的机会。操作系统层要进入数据库系统，首先要经过操作系统，所以如果操作系统的安全性能差，也会对数据库造成威胁。网络层几乎所有网络上的数据库系统都允许通过终端或网络进行远程访问，所以网络的安全和操作系统的安全一样重要，网络安全无疑会对数据库的安全提供一个保障数据库系层数据库系统应该有完善的访问控制机制，允许查询和允许修改有严格的界限，尽量保证不出现越权的操作。数据库安全概述数据库安全概述系统登录建立一个登录用户：login数据库访问在学生库下创建login的数据库用户user数据操作User能够查询学生表数据库管理系统身份识别机制123DBMS身份识别的三个层次身份和权限管理示意用戶登录访问查询与操作数据库管理系统系统数据库用户数据库1用户数据库2用户数据库3用户资源1用户资源2用户资源3用户资源4图5-1身份和权限管理示意三个认证过程连接权认证→访问权认证→操作权认证SQlServer服务器系统数据库操作权认证用户数据库1用户数据库2访问权认证√×用户数据库2连接权认证登录帐户A数据库用户分类系统管理员用户系统管理员用户管理数据库管理员用户数据库管理员用户数据库管理员用户管理数据库对象用户一般用户数据库对象用户向一般用户进行查询和操作授权。系统管理员用户数据库管理员用户数据库对象用户数据库访问用户用户和角色

用户

角色成员角色

角色：系统或数据库上有很多用户，每个用户可能有独立的职责，也可能多个用户有相同或相近的职责，那么称之为相同的角色。系统预定义角色sysadmin：具有系统管理员全部权限的角色serveradmin：负责配置数据库服务器的设置setupadmin：负责添加和删除链接的服务器securityadmin：负责管理服务器的登录processadmin：负责管理在SQLServer实例中运行的进程dbcreator：负责创建和改变数据库bulkadmin：可以执行BULKINSERT语句（数据库数据的装载）数据库预定义角色

db_owner：在数据库中有全部权限，即具有数据库管理员全部权限的角色db_accessadmin：负责数据库用户的管理db_securityadmin：负责数据库的安全管理，如负责权限管理、角色和角色成员资格管理等db_ddladmin：主要负责数据库的完整性和一致性检查及管理db_backupoperator：主要负责数据库的备份db_datareader：可以查询数据库中任何用户表中的所有数据db_datawriter：可以更改数据库中任何用户表中的所有数据db_denydatareader：不能查询数据库中任何用户表中的任何数据db_denydatawriter：不能更改数据库中任何用户表中的任何数据public角色public角色具有如下特点：public角色自动获得数据库中用户的所有默认权限；每个数据库（包括所有系统数据库和所有用户数据库）都有public角色；不需要、也无法将用户指派给public角色，因为默认情况下所有用户都属于该角色；不可以删除public角色。public角色是一个特殊的数据库角色，每个数据库用户都是该角色的成员。登录用户管理用户管理1234登录用户和数据库用户登录用户管理数据库用户的分类数据库用户管理

登录用户管理创建登录用户修改登录用户删除登录用户SQLServer在安装时默认的系统管理员用户是sa登录用户管理创建登录用户命令基本格式CREATELOGIN

login_name

{WITHPASSWORD='password'[MUST_CHANGE][,DEFAULT_DATABASE=

database][,CHECK_EXPIRATION={ON|OFF}]}例8-1：建立一个用户名为zhang、口令为mis的登录用户。CREATELOGINzhangWITHPASSWORD='mis'例8-2：建立一个用户名为wang、口令为mis315的登录用户，并且在第一次登录时强制必须修改口令。CREATELOGINwangWITHPASSWORD='mis315'MUST_CHANGE,CHECK_EXPIRATION=ON问题1：分别使用用户zhang和wang登录，登录时的区别？是否可以访问仓储订货数据库，为什么？练习1练习1练习1例8-3：建立一个用户名为huang、口令为mis、默认数据库是“仓储订货”的登录用户CREATELOGINhuangWITHPASSWORD='mis',DEFAULT_DATABASE=仓储订货问题2：使用huang进行登陆出现什么情况？为什么？练习2练习2修改登录用户命令的基本格式是：ALTERLOGINlogin_name{{ENABLE|DISABLE}|WITHPASSWORD='password'[,.OLD_PASSWORD='oldpassword'][,DEFAULT_DATABASE=database][,NAME=login_name]}管理员和普通用户如何修改口令？如何暂时禁止某用户登陆修改登录用户的属性例8-4：假设用户zhang外出度假，暂时禁止该用户登录。ALTERLOGINzhangDISABLE尝试使用zhang进行登陆？例8-5：假设用户zhang度假归来开始上班，重新允许该用户登录。ALTERLOGINzhangENABLE尝试再次使用zhang进行登陆？练习3练习3例8-6：由系统管理员将用户zhang的口令修改为bistu（以sa登录再执行命令）。ALTERLOGINzhangWITHPASSWORD='bistu'用户zhang在登录后自己将密码修改为mis（此时需要提供旧的密码，此时旧密码是bistu）。

ALTERLOGINzhangWITHPASSWORD='mis'OLD_PASSWORD='bistu'练习4练习4

DROPLOGINlogin_name删除登录用户数据库用户管理与分类谁来管理数据库用户通常来说，数据库用户是由数据库管理员负责管理的，但往往可以由系统管理员代行数据库管理员的职责。建立数据库用户建立新数据库用户的命令是CREATEUSER，基本格式是：CREATEUSERuser_name[LOGINlogin_name][WITHDEFAULT_SCHEMA=schema_name]1234思考为什么没有指定数据库？12使用DEFAULT_SCHEMA的效果？建立数据库用户练习1-2练习1指定登录用户zhang为“仓储订货”数据库的用户，并指定“仓储”架构为默认架构（注意切换回sa用户）。USE仓储订货CREATEUSERzhangWITHDEFAULT_SCHEMA=仓储练习1-2练习2分别使用登录用户zhang和wang登录，尝试他们能否使用USE命令进入“仓储订货”数据库。先登录用户wang，执行“USE仓储订货”再登录用户zhang，执行“USE仓储订货”问题：以上的结果是为什么？操作独立练习3-4练习3指定登录用户huang为“仓储订货”数据库的用户，并指定“订货”架构为默认架构（注意切换用户，在仓储订货下）。CREATEUSERhuangWITHDEFAULT_SCHEMA=订货问题：观察用户zhang和huang登录后各自的默认数据库分别是？练习4分别使用登录用户zhang和huang登录，对照一下有什么区别。独立练习3-4将数据库用户zhang的默认架构改为“基础”。（注意切换用户及数据库）ALTERUSERzhangWITHDEFAULT_SCHEMA=基础注意ALTERUSERuser_nameWITH{NAME=new_user_name|DEFAULT_SCHEMA=schema_name}[,…n]删除数据库用户DROPUSERuser_name练习5取消zhang的当前数据库用户资格，即删除该用户。DROPUSERzhang问题：用户zhang是否还可以登录到系统？练习5到目前为止sa是系统管理员，创建的zhang、wang等用户都是数据库访问用户，并且尚不具有任何权限。数据库管理员用户、数据库对象用户如何产生？数据库访问用户如何获取使用数据库的权限？练习51.SQLServer的登录用户由谁负责管理？2.在用CREATELOGIN命令创建登录用户时可以强制新用户在第一次登录时必须修改口令，如何实现此功能？3.在用CREATELOGIN命令创建登录用户时可以用DEFAULT_DATABASE指定默认数据库，4.分析例9-3的命令执行后立刻使用新登录用户huang进行登录会出现什么情况？为什么？5.ALTERLOGIN命令可以用来修改登录用户的哪些属性？练习51如果一个登录用户由于暂时离开原来的业务而禁止访问数据库，此时应该采取什么措施？2为什么用户自己在使用ALTERLOGIN命令修改口令时必须提供旧的口令？如果用户忘记口令怎么办？3什么是数据库用户？数据库用户由谁负责管理？4为什么创建数据库用户的CREATEUSER命令中并没有指定数据库？5什么是默认架构？6在SQLServer中数据库用户可以分为哪四个层次？角色及其管理用户和角色？某网络商城数据库有多少用户、有多少角色？系统管理员角色后台数据管理角色客户角色角色及其管理

可以将用户指定为角色的成员可以取消用户的角色成员资格成员用户自动从角色继承权限用户和角色的关系角色管理040201系统预定义角色管理角色（创建角色、删除角色）管理角色的权限（向角色授权或收回授权）注用户从角色继承权限管理数据库用户的角色（指定用户为角色的成员或取消用户的角色资格）03注意：不能删除仍然带有用户的角色，因此在删除角色前需要首先解除角色的所有成员。删除角色如果当前数据库中的某个角色不再需要，则可以删除该角色。删除角色命令的格式是

DROPROLErole_name系统预定义角色系统预定义角色除了前面提到的public角色外，还有两类预定义角色，一是系统管理预定义角色、二是数据库预定义角色，数据库预定义角色的权限又可以分为数据库管理和数据访问两部分内容。系统管理预定义角色没有必要、也不能将用户指定为public角色的成员不能取消用户的public角色成员资格不能删除public角色。每个数据库（包括所有系统数据库和所有用户数据库）都有public角色每个数据库用户都自动是public角色的成员public角色的权限是数据库中所有用户的默认权限或者说每个用户都拥有的权限应该来自public角色系统初始时public角色几乎没有任何默认的权限管理员应该将所有用户拥有的权限授予public角色定义角色CREATEROLE角色管理指定用户角色sp_addrolemember取消用户角色sp_droprolemember修改角色名称ALTERROLE删除角色DROPROLE为用户指定角色例：将用户huang指定为角色manager的成员

sp_addrolemember@rolename='manager',@membername='huang'或

sp_addrolemember'manager','huang'如果一个用户不再担当某个角色，则可以取消用户的角色成员资格。1.在数据库管理中角色代表了一种职能，每个数据库用户可以担当一个或多个角色，为此需要将数据库用户指定为数据库角色的成员。2.将数据库用户指定为角色成员使用系统存储过程

sp_addrolemember[@rolename=]'role’,[@membername=]'membername'指定系统预定义角色例：取消用户huang的manager角色的成员资格

sp_droprolemember@rolename='manager',@membername='huang'

如果一个用户不再担当某个角色，则可以取消用户的角色成员资格。取消用户角色成员资格使用系统存储过程sp_droprolemember[@rolename=]'role',[@membername=]'membername'修改角色名称sp_addsrvrolemember[@loginame=]'login'

,[@rolename=]'role’注

意

与指定数据库角色成员使用的系统存储过程不一样。例：将角色manager的名称修改为orders_manager。ALTERROLEmanagerWITHNAME=orders_manager删除角色如果当前数据库中的某个角色不再需要，则可以删除该角色。删除角色命令的格式是

DROPROLErole_name注意：不能删除仍然带有用户的角色，因此在删除角色前需要首先解除角色的所有成员。系统预定义角色除了前面提到的public角色外，还有两类预定义角色，一是系统管理预定义角色、二是数据库预定义角色，数据库预定义角色的权限又可以分为数据库管理和数据访问两部分内容。系统预定义角色db_owner：在数据库中有全部权限，即具有数据库管理员全部权限的角色。db_accessadmin：负责数据库用户的管理。db_securityadmin：负责数据库的安全管理，如负责权限管理、角色和角色成员资格管理等。db_backupoperator：主要负责数据库的备份。db_ddladmin：主要负责数据库的完整性和一致性检查及管理。db_datareader：可以查询数据库中任何用户表中的所有数据。db_datawriter：可以更改数据库中任何用户表中的所有数据。db_denydatareader：不能查询数据库中任何用户表中的任何数据。db_denydatawriter：不能更改数据库中任何用户表中的任何数据。数据库预定义角色数据库预定义角色的指定

sp_addsrvrolemember[@loginame=]'login'

,[@rolename=]'role’注

意

与指定数据库角色成员使用的系统存储过程不一样。例：指定用户huang为securityadmin角色。sp_addsrvrolemember@loginame='huang',@rolename='securityadmin'或sp_addsrvrolemember'huang','securityadmin'取消系统角色成员资格以用户huang登录，尝试执行CREATELOGIN命令创建登录用户。取消系统角色成员资格sp_dropsrvrolemember[@loginame=]'login'

,[@rolename=]'role'例：取消用户huang的securityadmin系统角色成员资格。

切换到sa用户sp_dropsrvrolemember'huang','securityadmin'再以用户huang登录尝试执行CREATELOGIN命令创建登录用户。练习db_owner：在数据库中有全部权限，即具有数据库管理员全部权限的角色。db_accessadmin：负责数据库用户的管理。db_securityadmin：负责数据库的安全管理，如负责权限管理、角色和角色成员资格管理等。db_backupoperator：主要负责数据库的备份。db_ddladmin：主要负责数据库的完整性和一致性检查及管理。db_datareader：可以查询数据库中任何用户表中的所有数据。db_datawriter：可以更改数据库中任何用户表中的所有数据。db_denydatareader：不能查询数据库中任何用户表中的任何数据。db_denydatawriter：不能更改数据库中任何用户表中的任何数据。数据库预定义角色数据库预定义角色的指定数据库预定义角色和自己定义的角色同属数据库角色，所以指定角色和取消角色的方式是？12sp_addrolemember将一个用户指定为数据库角色sp_droprolemember取消数据库角色成员资格1.目前有用户huang，默认架构是“订货”以sa身份使用CREATEUSER命令建立用户wang(默认架构“仓储”)，并将wang指定为db_owner角色以用户wang身份登录使用CREATEUSER建立用户zhang(默认架构“基础”)，并指定用户zhang为数据库预定义角色db_datareader6.尝试用户wang的各种权限7.分别用huang、zhang登录使用SELECT命令查询仓库表、职工表和订购单表，在能使用默认架构的地方忽略架构名，并给出查询结果。习题与思考试述角色管理的概念及在数据库安全控制中的作用。什么是public角色？public角色有哪些特点？试述角色管理都包括哪些内容？如何将用户指定为角色的成员？如何取消用户的角色成员资格？除public角色外SQLServer系统还预定义了哪些角色？试述这些系统预定义角色为安全管理提供了哪些便利。习题与思考权限管理权限管理每个数据库用户的权限从哪里来？65系统初始只有一个sa用户系统管理员可以创建数据库；系统管理员可以授权某用户是某数据库的数据库管理员；系统管理员可以授权某用户建立数据库，这时该用户自然是该数据库的数据库管理员；数据库管理员可以授权用户创建数据库对象（如创建表、视图、存储过程等），创建对象的用户对所创建对象拥有全部权限；创建数据库对象的用户可以将对象的使用权限授予其他用户；其他用户之间允许的授权。通过授权GRANT，收回授权REVOKE动态管理权限权限管理对象权限的管理架构权限管理语句权限的管理禁止继承权限查询授权情况所有权链接角色与存取控制66对象权限的管理处理数据或执行存储过程时需要有相应对象的操作或执行权限，这些权限可以划分为：SELECT、INSERT、UPDATE和DELETE语句权限，它们可以应用到整个表或视图上。SELECT和UPDATE语句权限，它们可以有选择性地应用到表或视图中的某些列上。INSERT和DELETE语句权限，它们会影响整行，因此只可以应用到表或视图中，而不能应用到单个列上。EXECUTE语句权限，即执行存储过程和函数的权限。67只允许查询修改某些行呢？授予对象操作权限GRANT{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}|ON{table|view}[(column_list)]|ONstored_procedure|ONuser_defined_function}TOname_list[WITHGRANTOPTION][ASrole]68只允许查询修改某些行呢？案例:“仓储订货”数据库的安全控制解决方案一个DBA除职工工资所有信息对所有用户均可查询store_man库存管理角色，可以对“库存”表插入、删除，可以修改库存数量，至少有一个用户担当此角色order_man订单管理角色，可以对“订购单”表插入、删除，可以修改经手人、供货方、订购日期和金额；可以对“订购明细”表插入、删除，可以修改数量和单价，至少有一个用户担当此角色其他临时授权和权限管理69练习假设用户wang、zhang、huang、wu、qiao、tang都是“仓储订货”数据库的用户（如果他们还不是登录用户，请以sa身份使用CREATELOGIN命令先创建登录用户，再用CREATEUSER命令将他们指定为“仓储订货”数据库的用户），接下来体验权限管理的方法和效果。指定用户wang为“仓储订货”数据库的DBA，然后用wang登录完成以下操作：授权所有用户都可以查询除职工工资以外的所有信息；建立角色store_man和order_man；授权角色store_man可以对“库存”表插入、删除，可以修改库存数量；授权角色order_man可以对“订购单”表插入、删除，可以修改经手人、供货方、订货日期和金额；可以对“订购明细”表插入、删除，可以修改数量和单价；指定用户zhang为角色store_man的成员，指定用户wu为角色order_man的成员。70例：确认wang、zhang、huang、wu、qiao、tang都是“仓储订货”数据库的用户，然后指定用户wang为“仓储订货”数据库的DBA以sa身份登录，检查wang、zhang、huang、wu、qiao、tang如果不是“仓储订货”数据库的用户，则用CREATEUSER命令将他们指定为“仓储订货”数据库的用户将用户wang指定为“仓储订货”数据库的DBA(上次练习已经指定可以跳过)sp_addrolemember'db_owner','wang'71例：用户wang做为DBA授权所有用户都可以查询除职工工资以外的所有信息。GRANTSELECTON仓储.仓库TOpublic

GRANTSELECTON仓储.库存TOpublic

GRANTSELECTON基础.职工(职工号,仓库号,姓名,班组长)TOpublic

GRANTSELECTON基础.器件TOpublic

GRANTSELECTON订货.供应商TOpublic

GRANTSELECTON订货.订购单TOpublic

GRANTSELECTON订货.订购明细TOpublic

72例：建立角色store_man和order_man，然后对角色按要求授权。CREATEROLEstore_man

CREATEROLEorder_man

GRANTINSERT,UPDATE(数量),DELETEON仓储.库存TOstore_man

GRANTINSERT,UPDATE(经手人,供货方,订购日期,金额),DELETEON订货.订购单TOorder_man

GRANTINSERT,UPDATE(数量,单价),DELETEON订货.订购明细TOorder_man

WITHGRANTOPTION73WITHGRANTOPTION起什么作用？例：指定角色成员。指定用户zhang为角色store_man的成员，指定用户wu为角色order_man的成员。sp_addrolemember'store_man','zhang'

sp_addrolemember'order_man','wu'

初步完成对“仓储订货”数据库的查询和操作授权，除用户wang是DBA之外，尝试分别用zhang、wu、huang、qiao、tang等用户登录体验他们各自的权限（之前练习zhang还是db_datareader角色）。74例：以DBA用户wang登录，单独授予用户zhang一些权限。授权用户zhang可以对“器件”表进行插入操作：GRANTINSERTON基础.器件TOzhang

WITHGRANTOPTION授权用户zhang可以对“器件”表进行删除操作：GRANTDELETEON基础.器件TOzhang

75以用户zhang登录尝试如下命令GRANTINSERTON基础.器件TOhuang

GRANTDELETEON基础.器件TOhuang

能否成功执行？为什么？

例：以用户wu的身份尝试给用户huang授权GRANTINSERT,DELETEON订货.订购明细TOhuang能否成功执行？为什么？76正确的方法是：GRANTINSERT,DELETEON订货.订购明细TOhuangASorder_man收回对象操作权限REVOKE[GRANTOPTIONFOR]{ALL[PRIVILEGES]|permission_list}{[(column_list)]ON{table|view}|ON{table|view}[(column_list)]|ONstored_procedure|ONuser_defined_function}FROMname_list[CASCADE][AS{group|role}]77GRANTOPTIONFOR表示只收回WITHGRANTOPTION权限；CASCADE表示级联收回由于WITHGRANTOPTION授予的所有权限；GRANTOPTIONFOR要与CASCADE一同使用，因为要收回WITHGRANTOPTION权限，也应该一同收回由于该子句产生的所有授权。练习以用户zhang身份登录收回用户huang对“器件”表的插入权限REVOKEINSERTON基础.器件FROMhuang练习：以用户huang的身份再对“器件”表进行插入操作，验证该用户的权限。78练习以用户wu身份登录收回用户huang对“订购明细”表的插入权限REVOKEINSERTON订货.订购明细FROMhuang

什么情况？79当时用户wu是以order_man角色完成授权的，所以以上命令不正确。此时也必须用order_man角色才能收回授权，因此正确的命令是：REVOKEINSERTON订货.订购明细FROMhuangASorder_man练习：以用户huang的身份再对“订购明细”表进行插入操作，验证该用户的权限。练习DBA（用户wang）从角色order_man收回对“订购明细”表由于WITHGRANTOPTION产生的授权。REVOKEGRANTOPTIONFORINSERT,DELETE,UPDATEON订货.订购明细FROMorder_man

CASCADE练习：之前用户wu是order_man角色的成员，并曾将插入和删除权限授予用户huang（前面已经收回插入权限）。以用户huang的身份对“订购明细”表进行删除操作，验证该用户的权限；再以用户wu的身份登录验证对“订购明细”表的INSERT、DELETE和UPDATE权限。80练习DBA（用户wang）从角色order_man收回对“订购明细”表的所有权限，并级联收回由于WITHGRANTOPTION产生的授权（上一个练习只收回了由于WITHGRANTOPTION产生的级联授权，为了从角色order_man收回权限使用如下命令）REVOKEINSERT,UPDATE,DELETEON订货.订购明细FROMorder_man练习：用户wu是order_man角色的成员，以用户wu的身份登录验证对“订购明细”表的INSERT、UPDATE和DELETE权限。81

“仓储订货”数据库安全控制案例中权限管理的基本思路和方法？架构权限管理什么是架构？以前通过用户管理对象的弊端？通过架构管理对象的特点架构的所有权和架构范围内的安全对象可以转移对象可以在架构之间移动。每个架构可以包含由多个数据库用户创建的对象多个数据库用户可以共享一个默认的架构与早期版本相比，对架构及架构中包含的安全对象的权限管理更加精细架构可以由任何数据库主体拥有（角色或用户）可以删除数据库用户而不删除相应架构中的对象82架构权限管理架构权限的授予架构权限的收回转移架构所有权在架构之间移动对象83架构权限的授予GRANTpermission[,...n]ONSCHEMA::schema_nameTOdatabase_principal[,...n][WITHGRANTOPTION][ASgranting_principal]84permission：指定可授予架构的权限，它包括CONTROL、ALTER、EXECUTE、INSERT、DELETE、UPDATE、SELECT、REFERENCES等练习用户wang以DBA身份将对架构“仓储”的INSERT权限授予zhang。GRANTINSERTONSCHEMA::仓储TOzhang练习：zhang对仓储架构下所有表的INSERT权限用户wang以DBA身份授予用户zhang在“仓储”架构上的CONTROL权限。GRANTCONTROLONSCHEMA::仓储TOzhang什么是CONTROL权限？85架构权限的收回REVOKE[GRANTOPTIONFOR]permission[,...n]ONSCHEMA::schema_nameFROMdatabase_principal[,...n][CASCADE][ASrevoking_principal]86练习收回用户zhang在架构“仓储”上的INSERT权限。REVOKEINSERTONSCHEMA::仓储FROMzhang87转移架构所有权ALTERAUTHORIZATIONONentity_nameTO{SCHEMAOWNER|principal_name}entity_name是对象名(可以是架构、表……)；principal_name是将拥有对象的用户或角色名称；SCHEMAOWNER说明将对象的所有权传递给它所在的架构所有者。88练习将“器件”表的所有权传递给用户wu。ALTERAUTHORIZATIONON基础.器件TOwu将“基础”架构的所有权传递给用户tang。ALTERAUTHORIZATIONONSCHEMA::基础TOtang将“器件”表的所有权传递给所属架构的所有者。ALTERAUTHORIZATIONON基础.器件TOSCHEMAOWNER注意：曾将“器件”表的所有权转给用户wu，而如上命令执行后“器件”表的所有权将转给架构的拥有者用户tang，随之用户wu在“器件”表上的权限也消失。89在架构之间移动对象ALTERSCHEMAschema_name

TRANSFERsecurable_nameschema_name是将对象移入的当前数据库中的架构名称securable_name是要移入指定架构中的对象名称注意：从另一个架构中传输对象，当前用户必须拥有对该对象（非架构）的CONTROL权限，并拥有对目标架构的ALTER权限。90练习将器件表从基础架构移动到仓储架构。ALTERSCHEMA仓储TRANSFER基础.器件91语句权限管理执行如下语句的权限：BACKUPDATABASEBACKUPLOGCREATEDATABASECREATEDEFAULTCREATEFUNCTIONCREATEPROCEDURECREATERULECREATETABLECREATEVIEW92授予语句权限GRANT{ALL|statement_list}TOname_list注意：WITHGRANTOPTION子句对语句授权无效。93练习目前用户wang是仓储订货数据库的DBA(db_owner角色)，用户zhang在仓储架构上有CONTROL权限、用户ta