05 触发器和权限管理.ppt

1、oracle,触发器和权限管理,触发器,触发器是当特定事件出现时自动执行的存储过程 特定事件可以是执行更新的DML语句和DDL语句 触发器不能被显式调用 触发器的功能： 自动生成数据 自定义复杂的安全权限 提供审计和日志记录 启用复杂的业务逻辑,创建触发器的语法,CREATE OR REPLACE TRIGGER trigger_name AFTER | BEFORE | INSTEAD OF INSERT OR UPDATE OF column_list OR DELETE ON table_or_view_name REFERENCING OLD AS old / NEW AS new F

2、OR EACH ROW WHEN (condition) pl/sql_block;,触发器的组成部分-1,触发器由三部分组成： 触发器语句（事件） 定义激活触发器的 DML 事件和 DDL 事件 触发器限制 执行触发器的条件，该条件必须为真才能激活触发器 触发器操作（主体） 包含一些 SQL 语句和代码，它们在发出了触发器语句且触发限制的值为真时运行,触发器的组成部分-2,SQL CREATE OR REPLACE TRIGGER trig_sal AFTER UPDATE OF empsal ON salary_records ,触发器语句,为 salary_records 表创建 tri

3、g-sal 触发器,在更新 emp_sal 列之后激活触发器,触发器限制,SQL FOR EACH ROW WHEN (NEW.empsalOLD.empsal) DECLARE Sal_diff NUMBER; ,只有在WHEN子句中的条件得到满足时，才激活trig_sal 触发器,触发器操作,SQL BEGIN sal_diff:=:NEW.empsal-:OLD.empsal; DBMS_OUTPUT.PUT_LINE(工资差额：sal_diff); END;,如果WHEN子句中的条件得到满足，将执行BEGIN 块中的代码,触发器的组成部分-3,Oracle 数据库,更新,表,保存更新,

4、激活,触发器,AFTER 触发器的工作原理,BEFORE 触发器的工作原理,更新,表,激活,触发器,保存更新,Oracle 数据库,创建触发器,CREATE OR REPLACE TRIGGER aiu_itemfile AFTER INSERT ON itemfile FOR EACH ROW BEGIN IF (:NEW.qty_hand = 0) THEN DBMS_OUTPUT.PUT_LINE(警告：已插入记录，但数量为零); ELSE DBMS_OUTPUT.PUT_LINE(已插入记录); END IF; END; /,触发器类型-1,触发器的类型有：,触发器类型,模式(DDL)

5、 触发器,DML 触发器,数据库级 触发器,语句级触发器,行级触发器,INSTEAD OF触发器,触发器类型-2,DDL 触发器 数据库级触发器 DML 触发器 语句级触发器 行级触发器 INSTEAD OF 触发器,在模式中执行 DDL 语句时执行,在发生打开、关闭、登录和退出数据库等系统事件时执行,在对表或视图执行DML语句时执行,无论受影响的行数是多少，都只执行一次,对DML语句修改的每个行执行一次,用于用户不能直接使用 DML 语句修改的视图,触发器类型-3,行级触发器,SQL CREATE TABLE TEST_TRG (ID NUMBER, NAME VARCHAR2(20); S

6、QL CREATE SEQUENCE SEQ_TEST; SQL CREATE OR REPLACE TRIGGER BI_TEST_TRG BEFORE INSERT OR UPDATE OF ID ON TEST_TRG FOR EACH ROW BEGIN IF INSERTING THEN SELECT SEQ_TEST.NEXTVAL INTO :NEW.ID FROM DUAL; ELSE RAISE_APPLICATION_ERROR(-20020, 不允许更新ID值！); END IF; END; /,触发器类型-4,SQL CREATE OR REPLACE TRIGGER

7、trgdemo AFTER INSERT OR UPDATE OR DELETE ON order_master BEGIN IF UPDATING THEN DBMS_OUTPUT.PUT_LINE(已更新 ORDER_MASTER 中的数据); ELSIF DELETING THEN DBMS_OUTPUT.PUT_LINE(已删除 ORDER_MASTER 中的数据); ELSIF INSERTING THEN DBMS_OUTPUT.PUT_LINE(已在 ORDER_MASTER 中插入数据); END IF; END; /,语句级触发器,触发器类型-5,SQL CREATE OR

8、REPLACE TRIGGER upd_ord_view INSTEAD OF UPDATE ON ord_view FOR EACH ROW BEGIN UPDATE order_master SET vencode=:NEW.vencode WHERE orderno = :NEW.orderno; DBMS_OUTPUT.PUT_LINE(已激活触发器); END; /,INSTEAD OF 触发器,触发器类型-6,SQL CREATE TABLE dropped_obj ( obj_name VARCHAR2(30), obj_type VARCHAR2(20), drop_date

9、DATE); SQL CREATE OR REPLACE TRIGGER log_drop_obj AFTER DROP ON SCHEMA BEGIN INSERT INTO dropped_obj VALUES( ORA_DICT_OBJ_NAME, ORA_DICT_OBJ_TYPE, SYSDATE); END; /,模式触发器,启用和禁用触发器 删除触发器,启用、禁用和删除触发器,SQL ALTER TRIGGER aiu_itemfile DISABLE;,SQL ALTER TRIGGER aiu_itemfile ENABLE;,SQL DROP TRIGGER aiu_ite

10、mfile;,查看有关触发器的信息,SQL SELECT TRIGGER_NAME FROM USER_TRIGGERS WHERE TABLE_NAME=EMP; SQL SELECT TRIGGER_TYPE, TRIGGERING_EVENT, WHEN_CLAUSE FROM USER_TRIGGERS WHERE TRIGGER_NAME = BIU_EMP_DEPTNO;,USER_TRIGGERS 数据字典视图包含有关触发器的信息,权限,权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力。有两类权限：系统权限和对象权限。 系统权限：是执行一处特殊动作或者在对象类型上执行

11、一种特殊动作的权利。 系统权限可授权给用户或角色，一般，系统权限只授予管理人员和应用开发人员，终端用户不需要这些相关功能。 对象权限：在指定的表、视图、序列、过程、函数或包上执行特殊动作的权利。,角色,为相关权限的命名组，可授权给用户和角色。数据库角色包含下列功能： 一个角色可授予系统权限或对象权限。 一个角色可授权给其它角色，但不能循环授权。 任何角色可授权给任何数据库用户。 授权给用户的每一角色可以是可用的或者不可用的。 一个间接授权角色对用户可显式地使其可用或不可用。 在一个数据库中，每一个角色名必须唯一。角色名与用户不同，角色不包含在任何模式中，所以建立角色的用户被删除时不影响该角色。

12、 建立角色的目的 为数据库应用管理权限和为用户组管理权限。相对应的角色称为应用角色和用户角色。 应用角色是授予的运行数据库应用所需的全部权限。 用户角色是为具有公开权限需求的一组数据库用户而建立的。用户权限管理是受应用角色或权限授权给用户角色所控制，然后将用户角色授权给相应的用户。,利用角色对权限管理的优点,ORACEL利用角色更容易地进行权限管理。有下列优点： 减少权限管理，不要显式地将同一权限组授权给几个用户，只需将这权限组授给角色，然后将角色授权给每一用户。 动态权限管理，如果一组权限需要改变，只需修改角色的权限，所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改。 权限的选择

13、可用性，授权给用户的角色可选择地使其可用或不可用。 应用可知性，当用户经用户名执行应用时，该数据库应用可查询字典，将自动地选择使角色可用或不可用。 应用安全性，角色使用可由口令保护，应用可提供正确的口令使用角色，,创建角色-1,使用CREATE ROLE语句可以创建一个新的角色，执行该语句的用户必须具有CREATE ROLE系统权限。 在角色刚刚创建时，它并不具有任何权限，这时的角色是没有用处的。因此，在创建角色之后，通常会立即为它授予权限。例如：利用下面的语句创建了一个名为OPT_ROLE的角色，并且为它授予了一些对象权限和系统权限： CREATE ROLE OPT_ROLE; GRANT

14、SELECT ON sal_history TO OPT_ROLE; GRANT INSERT,UPDATE ON mount_entry TO OPT_ROLE; GRANT CREATE VIEW TO OPT_ROLE;,授予权限或角色- 授予系统权限,在GRANT关键字之后指定系统权限的名称，然后在TO关键字之后指定接受权限的用户名，即可将系统权限授予指定的用户。 例如：利用下面的语句可以相关权限授予用户chenjie： GRANT CREATE USER,ALTER USER,DROP USER TO chenjie WITH ADMIN OPTION;,授予权限或角色- 授予对象权

15、限,Oracle对象权限指用户在指定的表上进行特殊操作的权利。 在GRANT关键字之后指定对象权限的名称，然后在ON关键字后指定对象名称，最后在TO关键字之后指定接受权限的用户名，即可将指定对象的对象权限授予指定的用户。 使用一条GRANT语句可以同时授予用户多个对象权限，各个权限名称之间用逗号分隔。 有三类对象权限可以授予表或视图中的字段，它们是分别是INSERT，UPDATE和REFERENCES对象 例如：利用下面的语句可以将CUSTOMER表的SELECT和INSERT，UPDATE对象权限授予用户chenqian： GRANT SELECT,INSERT(CUSTOMER_ID,CU

16、STOMER_name),UPDATE(desc) ON CUSTOMER TO chenqian WITH GRANT OPTION; 在授予对象权限时，可以使用一次关键字ALL或ALL PRIVILEGES将某个对象的所有对象权限全部授予指定的用户。,授予权限或角色- 授予角色,在GRANT关键字之后指定角色的名称，然后在TO关键字之后指定用户名，即可将角色授予指定的用户。Oracle数据库系统预先定义了CONNECT、RESOURCE、DBA、 EXP_FULL_DATABASE、IMP_FULL_DATABASE五个角色。CONNECT具有创建表、视图、序列等权限；RESOURCE具有

17、创建过程、触发器、表、序列等权限、DBA具有全部系统权限；EXP_FULL_DATABASE、 IMP_FULL_DATABASE具有卸出与装入数据库的权限。 通过查询sys.dba_sys_privs可以了解每种角色拥有的权利。,回收权限或角色,使用REVOKE语句可以回收己经授予用户（或角色）的系统权限、对象权限与角色，执行回收权限操作的用户同时必须具有授予相同权限的能力。 例如：利用下面的语句可以回收已经授予用户chenqian的SELECT和UPDATE对象权限： REVOKE SELECT,UPDATE ON CUSTOMER FROM chenqian; 利用下面的语句可以回收已经

18、授予用户chenjie的CREATE ANY TABLE系统权限： REVOKE CREATE ANY TABLE FROM chenjie; 利用下面的语句可以回收己经授予用户chenjie的OPT_ROLE角色： REVOKE OPT_ROLE FROM chenjie; 在回收对象权限时，可以使用关键字ALL或ALL PRIVILEGES将某个对象的所有对象权限全部回收。 例如：利用下面的语句可以回收己经授予用户chenqian的CUSTOMER表的所有对象权限： REVOKE ALL ON CUSTOMER FROM chenjie;,激活和禁用角色,一个用户可以同时被授予多个角色，但是并不是