202309-實(shí)驗(yàn)三：數(shù)據(jù)庫(kù)的安全性課案

202409-實(shí)驗(yàn)三：數(shù)據(jù)庫(kù)的安全性課案試驗(yàn)三：數(shù)據(jù)庫(kù)的平安性

一、試驗(yàn)?zāi)康?/p>

熟識(shí)通過SQL對(duì)數(shù)據(jù)進(jìn)行平安性掌握。

二、試驗(yàn)平臺(tái)

SQLServer2024

三、試驗(yàn)內(nèi)容和要求

1、把握Windows登錄名和SQLSERVER登錄名的建立與刪除方法；

2、把握數(shù)據(jù)庫(kù)用戶創(chuàng)建與管理的方法；

3、把握服務(wù)器角色的用法；

4、把握數(shù)據(jù)庫(kù)權(quán)限授予、拒絕和撤銷的方法；

四、試驗(yàn)步驟

（一）授權(quán)與回收。

授權(quán)。在SQLSever中建立多個(gè)用戶，給他們給予不同的權(quán)限，然后查看是否真正擁有被授予的權(quán)限了。

1）建立用戶U1、U2、U3、U4、U5、U6、U7。

2）以系統(tǒng)管理員身份對(duì)這7個(gè)用戶進(jìn)行授權(quán)。

把查詢Student表的權(quán)限授給用戶U1。

GRANTSELECT

ONStudent

TOU1;

把對(duì)Student表和Course表的全部操作權(quán)限授予用戶U2和U3。

GRANTALLPRIVILEGES

ONStudent

TOU2,U3;

GRANTALLPRIVILEGES

ONCourse

TOU2,U3;

把對(duì)表SC的查詢權(quán)限授予全部用戶。

GRANTSELECT

ONSC

TOPUBLIC;

把查詢Student表和修改同學(xué)學(xué)號(hào)的權(quán)限授給用戶U4。

GRANTUPDATE(Sno),SELECT

ONStudent

TOU4;

把對(duì)表SC的INSERT權(quán)限授予U5，并允許U5將此權(quán)限再授予其他用戶。

GRANTINSERT

ONSC

TOU5

WITHGRANTOPTION;

用戶U5將對(duì)表SC的INSERT權(quán)限授予U6,并允許將權(quán)限轉(zhuǎn)授給其他用戶。

首先應(yīng)當(dāng)以U5的身份重新登錄數(shù)據(jù)庫(kù)，然后再進(jìn)行授權(quán)。

GRANTINSERT

ONSC

TOU6

WITHGRANTOPTION;

用戶U6將對(duì)表SC的INSERT權(quán)限授予U7。

首先應(yīng)當(dāng)以U6的身份重新登錄數(shù)據(jù)庫(kù)，然后再進(jìn)行授權(quán)。

GRANTINSERT

ONSC

TOU7;

3）在授權(quán)之后驗(yàn)證用戶是否擁有了相應(yīng)的權(quán)限。

在執(zhí)行完上面七個(gè)語句之后，我們可以分別以不同用戶的身份登錄數(shù)據(jù)庫(kù)，進(jìn)行相關(guān)操作，檢查系統(tǒng)是否許可。例如：

U4更新Student表的同學(xué)學(xué)號(hào)。

UPDATEStudent

SETSNO=‘95101’

WHERESNO=‘95001’;

顯示更新1條記錄，即U4用戶擁有了對(duì)Student表Sno的更新權(quán)限。U7向SC表中插入一條數(shù)據(jù)：（95020，20，88）。

INSERTINTOSCVALUES(‘95020’,’20’,88);

顯示插入1條記錄，即用戶U7擁有了對(duì)SC表的插入權(quán)限。

回收權(quán)限。將授予的權(quán)限部分收回，檢查回收后，該用戶是否真正丟失了對(duì)數(shù)據(jù)的相應(yīng)權(quán)限。

1）回收權(quán)限。

收回用戶U4修改同學(xué)學(xué)號(hào)的權(quán)限。

當(dāng)前用戶為SYSTEM，直接執(zhí)行下列語句：

REVOKEUPDATE(SNO)

ONStudent

FROMU4;

收回全部用戶對(duì)表SC的查詢權(quán)限。

REVOKESELECT

ONSC

FROMPUBLIC;

收回用戶U5對(duì)SC表的INSERT權(quán)限。

將權(quán)限INSERT授予給用戶U5時(shí)，允許該用戶將權(quán)限再授予給其他用戶；之后，用戶U5將INSERT權(quán)限轉(zhuǎn)授給了U6，U6又將權(quán)限轉(zhuǎn)授給U7。因此，將用戶U5的INSERT權(quán)限收回的時(shí)候必需級(jí)聯(lián)收回，不然系統(tǒng)將拒絕執(zhí)行該命令：

REVOKEINSERT

ONTABLESC

FROMU5CASCADE;

執(zhí)行該命令之后，U6從U5處獲得的權(quán)限也將被收回，U7從U6處獲得的權(quán)限也將同時(shí)被收回。

2）在回收權(quán)限之后驗(yàn)證用戶是否真正丟失了該權(quán)限。

用戶U3查詢表SC。

首先用戶U3重新登錄數(shù)據(jù)庫(kù)TEST。執(zhí)行命令：

SELECT*FROMSC;

執(zhí)行失敗，該用戶不擁有此權(quán)限。證明用戶U3丟失了對(duì)表SC查詢的權(quán)限。用戶U6向表SC中插入一條記錄(‘95035’,’3’,92)。

首先用戶U6重新登錄數(shù)據(jù)庫(kù)TEST。執(zhí)行命令：

INSERTINTOSCVALUES(‘95035’,’3’,92);

執(zhí)行失敗，該用戶不擁有此權(quán)限。證明用戶U6丟失了從用戶U5處獲得的對(duì)表SC插入的權(quán)限。

（二）數(shù)據(jù)庫(kù)角色。

角色的創(chuàng)建與授權(quán)。

創(chuàng)建角色G1。

CREATEROLEG1;

給角色授權(quán)，使得角色G1擁有對(duì)Student表的SELECT、UPDATE、INSERT的權(quán)限。

GRANTSELETE,UPDATE,INSERT

ONSTUDENT

TOG1;

將用戶U1,U3,U7添加到角色G1中來。

EXECsp_addrolemember‘G1’,’u1’

EXECsp_addrolemember‘G1’,’u2’

EXECsp_addrolemember‘G1’,’u3’

將U1,U3,U7添加到角色G1中之后，U1,U3,U7就擁有了G1擁有的全部權(quán)限，即對(duì)Student表的SELECT、UPDATE、INSERT的權(quán)限。

對(duì)角色G1的權(quán)限進(jìn)行修改，增加對(duì)Student表的DELETE權(quán)限，并回收對(duì)Student表的INSERT權(quán)限。

GRANTDELETE

ONSTUDENT

TOG1；

REVOKEINSERT

ONSTUDENT

FROMG1;

刪除角色G1。

DROPROLEG1;

五、試驗(yàn)任務(wù)

利用試驗(yàn)二建立的students數(shù)據(jù)庫(kù)和其中的student、course、sc表，完成下列操作：

1、建立SQLServer身份驗(yàn)證模式的登錄賬戶：log1、log2和log3；（命令方式創(chuàng)建）

CREATELOGINlog1WITH

PASSWORD='821742'

GO

CREATELOGINlog2WITH

PASSWORD='821742'

GO

CREATELOGINlog3WITH

PASSWORD='821742'

GO

2、用log1新建一個(gè)數(shù)據(jù)庫(kù)引擎查詢，這時(shí)在“可用數(shù)據(jù)庫(kù)”下列列表框中是否能選中students數(shù)據(jù)庫(kù)？為什么？

3、將log1、log2和log3映射為students數(shù)據(jù)庫(kù)中的用戶，用戶名同登錄名；（命令方式創(chuàng)建）

USEstudents

GO

CREATEUSERlog1

FORLOGINlog1

USEstudents

GO

CREATEUSERlog2

FORLOGINlog2

USEstudents

GO

CREATEUSERlog3

FORLOGINlog3

4、在log1建立的數(shù)據(jù)庫(kù)引擎查詢中，在“可用數(shù)據(jù)庫(kù)”下列列表框中選中students數(shù)據(jù)庫(kù)，是否勝利？為什么？

能，由于授予了權(quán)限。

5、在log1建立的數(shù)據(jù)庫(kù)引擎查詢中，執(zhí)行下述語句，能否勝利？為什么？

select*fromcourse

不能，由于Log1所在的數(shù)據(jù)庫(kù)沒有給予查詢權(quán)限。

6、授予log1具有course表的查詢權(quán)限，授予log2具有course表的插入權(quán)限；

7、用log2建立一個(gè)數(shù)據(jù)庫(kù)引擎查詢，然后執(zhí)行下述兩條語句，能否勝利？為什么？

Insertintocoursevalues(‘c101’,’java’,2,3)

Insertintocoursevalues(‘c102’,’操作系統(tǒng)’,4,4)

能，由于Log2給予了插入權(quán)限。

再次執(zhí)行下述語句，能否勝利？為什么？

select*fromcourse

不能，由于log2只有插入的權(quán)限，沒有查詢權(quán)限。

8、在log1建立的數(shù)據(jù)庫(kù)引擎查詢中，再次執(zhí)行下述語句：

select*fromcourse

這次能否勝利？為什么？

能，由于log1給予的是查詢功能。

讓log1執(zhí)行下述語句，能否勝利？為什么？

Insertintocoursevalues('c103','軟件工程',4,6)

不能，由于Log1所在的數(shù)據(jù)庫(kù)沒有給予查詢權(quán)限。

9、在students數(shù)據(jù)庫(kù)中建立用戶角色：role1，并將log1和log2添加到此角色中。

10、授予role1角色具有course表的插入、刪除和查詢權(quán)限；

11、在log1建立的數(shù)據(jù)庫(kù)引擎查詢中，再次執(zhí)行下述語句，能否勝利？為什么？

Insertintocoursevalues(‘c103’,’軟件工程’,4,6)

不能，由于Log1所在的數(shù)據(jù)庫(kù)沒有給予查詢權(quán)限。

12、在log2建立的數(shù)據(jù)庫(kù)引擎查詢中，再次執(zhí)行下述語句，能否勝利？為什么？

select*fromcourse

不能，由于Log2所在的數(shù)據(jù)庫(kù)沒有給予查詢權(quán)限。

13、用log3建立一個(gè)數(shù)據(jù)庫(kù)引擎查詢，并執(zhí)行下述語句，能否勝利？為什么？

select*fromcourse

不能，由于Log3所在的數(shù)據(jù)庫(kù)沒有給予查詢權(quán)限。

14、將log3添加到db_datareader角色中，并在log3建立的數(shù)據(jù)庫(kù)引擎查詢中再次執(zhí)行下述語句，能否勝利？為什么？

select*fromcourse

15、在log3建立的數(shù)據(jù)庫(kù)引擎查詢中，執(zhí)行下述語句，能否勝利？為什么？

Insertintocoursevalues(‘c104’,’C語言’,3,1)