数据库安全实验二

1、实 验 报 告课程名称数据库安全内容数据库权限的设计与实现指导教师岳 清起止日期2016.10.10-11.1提交日期2016.11.8学院计算机学院系别专业软件工程学生姓名管腾飞班级/学号软工1401/2014011352成绩_一、实验目的掌握用户、角色、权限的设置。通过实验，进一步加深数据库用户、用户权限、服务器角色、数据库角色等概念含义。二、实验内容1、建立 SQL Server认证的登录帐户： login_a，login_b，login_c，其中 login_a 的服务器角色为： public ；login_b 的服务器角色为：public+dbcreator；login_c 的服务器

2、角色为：public+sysadmin。实现过程截图2、用 login_a 登录，能否访问dbsecurity 数据库？为什么？答：无法访问。因为在建立 login_a 登陆账户时，其服务器的角色为 public ，而在此之前的 dbsecurity 所在的数据库角色为 public+ sysadmin。角色不同所拥有的权限也不同。3、用 login_a 登录，创建数据库 login_a_db，是否成功，为什么？答：创建数据库 login_a_db 失败。 login_a 登陆账户角色为 public 没有创建表的权限。4、用 login_b 登录，能否访问dbsecurity 数据库？为什么

3、？答：用 login_b 登录不能访问 dbsecurity 数据库。因为在次之前进行角色设定的时候， login_b 的角色为 public+dbcreator。而在此之前的 dbsecurity 所在的数据库角色为 public+ sysadmin。角色不同所拥有的权限也不同。5、用 login_b 登录，创建数据库 login_b_db，是否成功，为什么？答：用 login_b 登录，可以创建数据库login_b_db6、用 login_c 登录，能否访问dbsecurity 数据库？为什么？答：用 login_c 登录，可以访问 dbsecurity。因为在设定 login_c 角色时

4、，有这个权限。7、用 login_c 登录，创建数据库 login_c_db，是否成功，为什么？答 :用 login_c 登录，成功创建数据库 login_c_db。因为用户角色 login_c 拥有可以创建数据库的权限。8、 将 login_a、 login_b 映射为 dbsecurity 数据库的用户。 login_a 的数 据库 角色 为 db_datareader； login_b 的数 据 库角 色为db_datareade+db_datawriter1：设定将 login_a 映射为 dbsecurity 数据库的用户。 login_a 的数据库角色为db_datareader。

5、2：设定将 login_b 映射为 dbsecurity 数据库的用户。 login_b 的数据库角色为db_datareade+db_datawriter。9、用 login_a 登录，对 dbsecurity 数据库的表查询、修改和删除，是否成功，为什么？答 :用 login_a 登录，对 dbsecurity 数据库的表查询成功，修改失败，删除失败。因为在设定登录名时，对 dbsecurity 数据库的角色设定为 db_datareader就代表 login_a 只有数据的读取权限，并未拥有更改数据的权限。验证：10、 用 login_b 登录，对 dbsecurity 数据库的表查询、

6、修改和删除，是否成功，为什么？答 : 用 login_b 登录，对 dbsecurity 数据库的表查询成功， 修改成功，以及删除 也 成 功 。 因 为 在 设 定登 录名 login_b 的数 据库 角色 时， 设 定为db_datareade+db_datawriter说明 login_b 登录名既拥有数据库的读取，以及数据库的写的权限。11、 授予 login_a 对 dbsecurity 数据库中表 employee 的插入、删除和修改的权限。答 :授予 login_a 对 dbsecurity 数据库中表 employee 的插入、删除和修改的权限。在 login_c 用户中进行数

7、据库查询操作，查询语句为：grantdeleteon employeetologin_agrantupdateon employeetologin_agrantselecton employeetologin_a插入的验证：修改的验证：删除的验证12、 如果希望 login_a 不能查看表 employee 的全部字段，只能查看其中 3 个字段，如何操作？答: grantselect ( emp_id, name, job_id ) on employeeto login_a13、 用 login_a 登录，创建一个表，是否成功？答 :用 login_a 登陆，创建一个表，创建失败。因为 lo

8、gin_a 的用户权限，没有可以创建表的权限14、 如果希望 login_a 具有创建表的权限，应如何操作？答: 用 login_c 登录名的登录。然后在数据库角色中进行设定据库成员身份为 :db_owner.login_a 的数15、 login_b 用 户将其创 建 的数 据库login_b_db 的某一 个表（ table1）的浏览权限赋给 login_a，请用代码实现授权。答 : login_b 用户将其创建的数据库 login_b_db 的某一个表（ table1）的浏览权限赋给 login_a.用代码来实现授权，先将 login_a 映射到 Student 表代码实现： grant

9、 select on student to login_a16、 用 login_a 登录，浏览上一步授权的表。答:截图显示：17、 login_b 用户将对数据库 login_b_db 的某一个表（ table1）追加删除和更新的权利给用户 login_a（在 15 中只赋予了浏览权限），请用代码实现授权。答 :grant delete,update on Student to login_a18、 用 login_a 登录，更新和删除上一步授权的表。答 :19、 删除 login_a 用户对 login_b_db 数据库中表的所有权限。 （用 deny 语句实现）答 :deny all t

10、o login_a20、 用 login_b 登录，在数据库数据库 login_b_db 中创建一个新的数据库角色 myRole，该角色对 table1 有 select 和 insert 权限，将 login_a 用户添加到 myRole 中。用 login_a 登录，浏览 table1的内容，是否成功，为什么？答:成功。因为在数据库 login_b_db 中的新角色 myRole 有 select 和 insert 权限。并且将 login_a 用户添加进 myRole 中。因此具有查看 table1 中的内容。实现过程：21、 Revoke 和 deny 有什么区别，请设计一个例子来说明

11、。答: deny 拒绝授予主体权限。防止主体通过其组或角色成员身份继承权限 revoke 取消以前授予或拒绝了的权限 .对 login_a 进行测试。首先 login_a 拥有对 dbsecurity 进行查询的权限，然后进行收回。语句实现： revoke select to login_a。执行结果。deny select to login_a执行结果三、实验总结本次实验，对数据库的不同用户的权限不同，以及授予不同登陆名不同的权限。在数据库中，为便于用户及权限进行管理，可以将一组具有相同权限的用户组织在一起，这一组具有相同权限的用户就称为角色。通过查阅资料对于数据库的角色做得总结如下：db_owner 在数据库中有全部权限。db_accessadmin 可以添加或删除用户ID 。db_securityadmin可以管理全部权限、对象所有权、角色和角色成员资格。db_ddladmin 可以发出ALL DDL ，但不能发出GRANTdb_backupoperator 可以发出DBCC