第八章数据库ppt课件.ppt

《第八章数据库ppt课件.ppt》由会员分享，可在线阅读，更多相关《第八章数据库ppt课件.ppt（116页珍藏版）》请在咨信网上搜索。

第第8 8章章 数据库保护及数据库保护及SQL ServerSQL Server的的数据库保护技术数据库保护技术 8.1 8.1 数据库安全性及数据库安全性及SQL Server SQL Server 的安全管理的安全管理 8.2 8.2 数据库完整性及数据库完整性及SQL ServerSQL Server的完整性控制的完整性控制 8.3 8.3 数据库并发控制及数据库并发控制及SQL ServerSQL Server的并发控制机制的并发控制机制 8.4 8.4 数据库恢复技术与数据库恢复技术与SQL ServerSQL Server数据恢复机制数据恢复机制8.1 8.1 数据库的安全性及数据库的安全性及SQL ServerSQL Server的安全管理的安全管理 数据库的安全性是指保护数据库，以防止数据库的安全性是指保护数据库，以防止不合法的使用造成的数据泄密、更改或破坏。不合法的使用造成的数据泄密、更改或破坏。用户DBMSOSDB 用户标识和鉴别用户标识和鉴别 存取控制存取控制 操作系统安全保护操作系统安全保护 密码存储密码存储 8.1.1 8.1.1 数据库安全性控制的一般方法数据库安全性控制的一般方法计算机系统的安全模型1.1.用户标识与鉴别用户标识与鉴别l(1)(1)用输入用户名（用户标识号）来标明用输入用户名（用户标识号）来标明用户身份。用户身份。(3)(3)通过回答对随机数的运算结果表明通过回答对随机数的运算结果表明用户身份。用户身份。(2)(2)通过回答口令标识用户身份。通过回答口令标识用户身份。2.2.存取控制存取控制(1)(1)存取机制的构成。存取机制的构成。1)1)定义用户权限，并将用户权限登记定义用户权限，并将用户权限登记到数据字典中。到数据字典中。2)2)当用户提出操作请求时，系统进当用户提出操作请求时，系统进行权限检查，拒绝用户的非法操作。行权限检查，拒绝用户的非法操作。(2)(2)存取机制的类别。存取机制的类别。1)1)自主存取控制（自主存取控制（Discretionary Access Discretionary Access Control Control，简称，简称DACDAC）。2)2)强制存取控制（强制存取控制（Mandatory Access Mandatory Access ControlControl，简称，简称 MAC MAC）。）。(3).(3).自主存取控制方法自主存取控制方法(a)(a)关系中的用户权限。关系中的用户权限。用户权限主要包括用户权限主要包括数据对象数据对象和和操作类型操作类型两个要素。两个要素。用户名用户名数据对象名数据对象名允许的操作类型允许的操作类型李新李新关系关系S SSELECTSELECT李新李新列列SC.SnumSC.Snum SELECT SELECT李新李新关系关系SCSCINSERTINSERT王燕王燕关系关系SCSCALLALL王燕王燕关系关系S SUPDATEUPDATE王燕王燕列列SC.ScoreSC.ScoreUPDATEUPDATE操纵对象操纵对象 允许的操作的权利允许的操作的权利列列SELECT,INSERT,UPDATE,DELETE,SELECT,INSERT,UPDATE,DELETE,ALL PRIVILEGESALL PRIVILEGES视图视图SELECT,INSERT,UPDATE,DELETE,SELECT,INSERT,UPDATE,DELETE,ALL PRIVILEGESALL PRIVILEGES基本表基本表SELECT,INSERT,UPDATE,DELETE,SELECT,INSERT,UPDATE,DELETE,ALTER,INDEX,ALL PRIVILEGESALTER,INDEX,ALL PRIVILEGES数据库数据库CREATE TABLECREATE TABLE(b)SQL(b)SQL的数据控制功能。的数据控制功能。SQLSQL的数据控制功能为的数据控制功能为GRANTGRANT语句（授权）语句（授权）和和REVOKEREVOKE语句（收权）语句（收权）。GRANT ALL PRIVILEGES|GRANT ALL PRIVILEGES|ON ON TO TO|PUBLICPUBLICREVOKE REVOKE|ALL PRIVILEGES ON|ALL PRIVILEGES ON FROM FROM|PUBLIC|PUBLICl强制存取控制强制存取控制(MAC)(MAC)是指是指系统系统为保证更高为保证更高程度的安全性，所采取的强制存取检查程度的安全性，所采取的强制存取检查手段。手段。(4).(4).强制存取控制方法强制存取控制方法主体与客体主体与客体在在MACMAC中，中，DBMSDBMS所管理的全部实体被分所管理的全部实体被分为主体和客体两大类为主体和客体两大类主体主体是系统中的活动实体是系统中的活动实体l DBMSDBMS所管理的实际用户所管理的实际用户l 代表用户的各进程代表用户的各进程客体客体是系统中的被动实体，是受主体操纵是系统中的被动实体，是受主体操纵l文件文件 基表基表l索引索引 视图视图敏感度标记敏感度标记 对于主体和客体，对于主体和客体，DBMSDBMS为它们每个实为它们每个实例（值）指派一个敏感度标记例（值）指派一个敏感度标记（LabelLabel）敏感度标记分成若干级别敏感度标记分成若干级别 绝密（绝密（Top SecretTop Secret）机密（机密（SecretSecret）可信（可信（ConfidentialConfidential）公开（公开（PublicPublic）主体的敏感度标记称为主体的敏感度标记称为许可证级别许可证级别（Clearance LevelClearance Level）客体的敏感度标记称为客体的敏感度标记称为密级密级（Classification LevelClassification Level）MACMAC机制就是通过机制就是通过对比对比主体的主体的LabelLabel和客体的和客体的LabelLabel，最终确定主体是否能够存取客体，最终确定主体是否能够存取客体l 强制存取控制规则强制存取控制规则当某一用户（或某一主体）以标记当某一用户（或某一主体）以标记labellabel注册入系统时，系统要求他对任注册入系统时，系统要求他对任何客体的存取必须遵循下面两条规则：何客体的存取必须遵循下面两条规则：（1 1）仅当主体的许可证级别）仅当主体的许可证级别大于或等于大于或等于客体的密级时，该主体才能客体的密级时，该主体才能读读取相应取相应的客体；的客体；（2 2）仅当主体的许可证级别）仅当主体的许可证级别等于等于客体的客体的密级时，该主体才能密级时，该主体才能写写相应的客体。相应的客体。lDACDAC与与MACMAC共同构成共同构成DBMSDBMS的安全机制的安全机制 l 先进行先进行DACDAC检查，通过检查，通过DACDAC检查的数据检查的数据对象再由系统进行对象再由系统进行MACMAC检查，只有通过检查，只有通过MACMAC检查的数据对象方可存取。检查的数据对象方可存取。5.5.视图、审计和数据加密机制视图、审计和数据加密机制1 1）视图）视图 把把数据对象限制在一定范围数据对象限制在一定范围内，把要保密的内，把要保密的数据对无权存取的用户隐藏起来，从而自动数据对无权存取的用户隐藏起来，从而自动地对数据提供一定程度的安全保护。地对数据提供一定程度的安全保护。例：王平只能检索计算机系学生的信息：例：王平只能检索计算机系学生的信息：建立计算机系学生的视图建立计算机系学生的视图CS_StudentCS_Student，在视图上进一步定义存取权限在视图上进一步定义存取权限 3 3）数据加密）数据加密数据加密是防止数据库中的数据在数据加密是防止数据库中的数据在存储和传输中失密的有效手段。加密方存储和传输中失密的有效手段。加密方法主要有两种：法主要有两种：替换替换方法和方法和置换置换方法方法2 2）审计）审计 审计功能是一种监视措施，它审计功能是一种监视措施，它跟踪记录跟踪记录有关数据的访问活动。审计功能一般主要用有关数据的访问活动。审计功能一般主要用于安全性要求较高的部门。于安全性要求较高的部门。8.1.2 SQL Server8.1.2 SQL Server的安全体系结构和安全认证模式的安全体系结构和安全认证模式 1.SQL Server 1.SQL Server的安全体系结构的安全体系结构用户登录请求用户登录请求NTNT操作系统操作系统 SQL Server SQL Server数据库数据库服务器服务器SQL SQL ServerServer数数据据库库数据库对象数据库对象(2)SQL Server(2)SQL Server的的运行安全防线运行安全防线:通过通过 另一种帐号设置来创建附加安全层。另一种帐号设置来创建附加安全层。(1)Windows NT(1)Windows NT操作系统的安全防线操作系统的安全防线:网络网络管理员负责建立用户组，设置帐号并注册，管理员负责建立用户组，设置帐号并注册，同时决定不同的用户对不同系统资源的访问同时决定不同的用户对不同系统资源的访问级别。级别。(3)SQL Server(3)SQL Server数据库数据库的安全防线的安全防线:特定数特定数据库都有自己的用户和角色，该数据库只能据库都有自己的用户和角色，该数据库只能由它的用户或角色访问，其他用户无权访问由它的用户或角色访问，其他用户无权访问其数据。其数据。(4)SQL Server(4)SQL Server数据库对象数据库对象的安全防线的安全防线:对对权限进行管理，合法用户必须在自己的权限权限进行管理，合法用户必须在自己的权限范围内进行数据操作。范围内进行数据操作。2.SQL Server2.SQL Server的安全认证模式的安全认证模式(1)Windows(1)Windows（S S）安全认证模式）安全认证模式 SQL SQL服务器通过使用服务器通过使用WindowsWindows网络用网络用户的安全性来控制用户对户的安全性来控制用户对SQLSQL服务器的登服务器的登录访问。录访问。(2)(2)混合安全认证模式混合安全认证模式 使用使用WindowsWindows（S S）安全认证模式）安全认证模式或或SQL ServerSQL Server安全认证模式。安全认证模式。3.3.设置设置SQL ServerSQL Server的安全认证模式的安全认证模式8.1.3 SQL Server8.1.3 SQL Server的用户和角色管理的用户和角色管理1.1.登录的管理登录的管理登录（亦称登录（亦称LoginLogin用户）通过帐号和口令用户）通过帐号和口令访问访问SQL ServerSQL Server的数据库。的数据库。A.A.启动并登录启动并登录Sql Server Management Studio Sql Server Management Studio 在在【对象资源管理器】面板中展开【安全性】分支。【对象资源管理器】面板中展开【安全性】分支。B.B.右击【登录名】分支，在弹出的快捷菜单中选择右击【登录名】分支，在弹出的快捷菜单中选择【新建登录名】，弹出【登录名【新建登录名】，弹出【登录名-新建】对话框。新建】对话框。lC.C.在【登录名】文本框中输入要命名的登在【登录名】文本框中输入要命名的登录名如录名如”mini”,”mini”,l点选【点选【Sql serverSql server身份验证】单选按钮，身份验证】单选按钮，在密码与确认密码文本框中输入在密码与确认密码文本框中输入“mini”,“mini”,在【默认数据库】下拉框中选择在【默认数据库】下拉框中选择“学生学生”数据库，取消勾选强制实施密码策略复选数据库，取消勾选强制实施密码策略复选框。框。创建创建WindowsWindows登录登录l 创建创建WindowsWindows登录与创建登录与创建Sql Server Sql Server 登录有登录有一处不同，就是先要在一处不同，就是先要在WindowsWindows操作系统中进行操作系统中进行用户添加操作，然后才能在用户添加操作，然后才能在Sql Server Sql Server 中创建中创建登录。登录。lA.A.在在WindowsWindows操作系统的桌面上右击操作系统的桌面上右击“我的电脑我的电脑”图标，在弹出的快捷菜单中选择图标，在弹出的快捷菜单中选择“管理管理”命令，命令，弹出弹出“计算机管理计算机管理”对话框。对话框。lB.B.展开展开“计算机管理计算机管理”|“”|“本地用户和组本地用户和组”分支，分支，右击右击“用户用户”分支，在弹出的快捷菜单中选择分支，在弹出的快捷菜单中选择“新用户新用户”命令，弹出命令，弹出“新用户新用户”对话框。对话框。lC.C.在在“用户名用户名”文本框中输入文本框中输入“mi”“mi”，在，在”密码密码”和和”确认密码确认密码”文本框中输入文本框中输入“mi”,“mi”,取消勾取消勾选选“用户下次登录时要更改密码用户下次登录时要更改密码”复选框，单击复选框，单击“创建创建”按钮按钮 进行进行windowswindows用户的创建。用户的创建。lD.windowsD.windows用户创建完成后，在用户列表中就可用户创建完成后，在用户列表中就可以看到用户了。以看到用户了。lE.E.启动并登录启动并登录Sql Server Management Studio,Sql Server Management Studio,在在 对象资源管理器对象资源管理器 面板中展开【安全性】分支，面板中展开【安全性】分支，右击【登录名】分支，在弹出的菜单中选择【新右击【登录名】分支，在弹出的菜单中选择【新建登录名】命令，弹出建登录名】命令，弹出“登录名登录名-新建新建”对话框对话框l 【登录名】文本框：输入【登录名】文本框：输入sql serversql server登录登录名，可以是名，可以是WindowsWindows用户名或用户名或WindowsWindows组名，格组名，格式为式为 。单击右侧【搜索】按钮可。单击右侧【搜索】按钮可以弹出【选择用户或组】对话框，以查找以弹出【选择用户或组】对话框，以查找windowswindows用户。选择【用户。选择【windows windows 身份验证】单身份验证】单选按钮。选按钮。l选择【默认数据库】选择【默认数据库】权限权限l 在数据库内部，在数据库内部，SQLserver SQLserver 提供的权提供的权限作为访问权限设置的最后一道关卡。一限作为访问权限设置的最后一道关卡。一个登录者若要对某个数据库进行修改或访个登录者若要对某个数据库进行修改或访问，必须具有相应的权限。这种权限涉及问，必须具有相应的权限。这种权限涉及服务器级与数据库级的操作。权限既可以服务器级与数据库级的操作。权限既可以直接获得，也可以通过成为角色成员而继直接获得，也可以通过成为角色成员而继承角色的权限。权限的管理操作包括授予、承角色的权限。权限的管理操作包括授予、拒绝和废除。拒绝和废除。l权限的类型权限的类型 有有3 3种：对象权限、语句权限、种：对象权限、语句权限、隐含权限。隐含权限。l1 1、对象权限、对象权限 ：指对已经存在的数据库对：指对已经存在的数据库对象的操作权限，包括数据库对象的象的操作权限，包括数据库对象的select select insertupdatedeleteexecuteinsertupdatedeleteexecute权限权限l2 2、语句权限：用于创建数据库或数据库对、语句权限：用于创建数据库或数据库对象所涉及的活动。例如，向用户授予象所涉及的活动。例如，向用户授予Create table Create table 语句的权限后，用户将能够语句的权限后，用户将能够在数据库中创建表。各语句权限分别如下在数据库中创建表。各语句权限分别如下lBACKUP DATABASE BACKUP DATABASE 用于备份数据库用于备份数据库lBACKUP LOG BACKUP LOG 用于备份数据库日志用于备份数据库日志lCREATE DATABASE CREATE DATABASE 用于创建数据库用于创建数据库lCREATE DEFAULT CREATE DEFAULT 用于创建默认对象用于创建默认对象lCREATE FUNCTION CREATE FUNCTION 用于创建函数用于创建函数lCREATE PROCEDURE CREATE PROCEDURE 用于创建存储过程用于创建存储过程l CREATE TABLE CREATE TABLE 用于创建表用于创建表lCREATE VIEW CREATE VIEW 用于创建视图用于创建视图l隐含权限：隐含权限控制那些只能由固定角色隐含权限：隐含权限控制那些只能由固定角色的成员或数据库对象所有者执行的活动。的成员或数据库对象所有者执行的活动。l例如例如lsysadminsysadmin固定服务器角色成员自动继承固定服务器角色成员自动继承SqlServerSqlServer中进行安装、操作和查看的全部权中进行安装、操作和查看的全部权限。限。l数据库对象所有者具有隐含权限指它可以对所数据库对象所有者具有隐含权限指它可以对所拥有的对象执行一切操作。例如拥有表的用户拥有的对象执行一切操作。例如拥有表的用户可以修改、添加或删除数据，更改表定义，或可以修改、添加或删除数据，更改表定义，或控制其他用户操作表的权限。控制其他用户操作表的权限。为用户设置权限为用户设置权限 以登录名以登录名minimini为例为例lA A、启动并登录、启动并登录sql Server Management sql Server Management Studio,Studio,在【对象资源管理器】面板中展开【在【对象资源管理器】面板中展开【安全性】安全性】|【登录名】分支，右击【登录名】分支，右击【minimini】,在在弹出的快捷菜单中选择【属性】命令，弹出【弹出的快捷菜单中选择【属性】命令，弹出【登录属性】对话框登录属性】对话框lB B、打开【用户映射】页，在【映射】栏中勾、打开【用户映射】页，在【映射】栏中勾选数据库选数据库“学生学生”前的复选框，下面的【数据前的复选框，下面的【数据库角色成员身份】列表中将会默认选中【库角色成员身份】列表中将会默认选中【publicpublic】项，这是一项最基本的设置。单击【】项，这是一项最基本的设置。单击【确定】按钮就完成了对登录名确定】按钮就完成了对登录名mini mini 的权限设的权限设定。此时不能用定。此时不能用minimini登录，因为它还没有任何登录，因为它还没有任何对数据库的实际操作权限。对数据库的实际操作权限。lC C、返回、返回Sql Server Management Studio,Sql Server Management Studio,在【对象资源管理器】面板中展开【数据在【对象资源管理器】面板中展开【数据库】库】|“|“学生学生”|”|【安全性】【安全性】|【用户】分支，【用户】分支，右击【右击【minimini】,在弹出的快捷菜单中选择【在弹出的快捷菜单中选择【属性】命令，弹出【数据库用户】对话框，属性】命令，弹出【数据库用户】对话框，选择左侧的【安全对象】页。选择左侧的【安全对象】页。lD D、单击【搜索】按钮，弹出【添加对象】对、单击【搜索】按钮，弹出【添加对象】对话框，点选【特定对象】单选按钮，单击【话框，点选【特定对象】单选按钮，单击【确定】按钮，弹出【选择对象】对话框。确定】按钮，弹出【选择对象】对话框。lE E、单击【对象类型】按钮，弹出【选择对象、单击【对象类型】按钮，弹出【选择对象类型】对话框，在【对象类型】列表中勾选类型】对话框，在【对象类型】列表中勾选【表】前的复选框。单击【确定】按钮，弹【表】前的复选框。单击【确定】按钮，弹出【查找对象】对话框，如图，取消勾选表出【查找对象】对话框，如图，取消勾选表“stu”“stu”前的复选框，其他表全部选中。单击前的复选框，其他表全部选中。单击【确定】按钮返回【选择对象类型】对话框，【确定】按钮返回【选择对象类型】对话框，再次单击【确定】按钮返回【数据库用户】再次单击【确定】按钮返回【数据库用户】对话框。对话框。lF F、在【数据库】对话框中单击【安全对象、在【数据库】对话框中单击【安全对象】列表中的通讯录表，在下方的权限列表】列表中的通讯录表，在下方的权限列表会列出表的权限，在权限列表中勾选【授会列出表的权限，在权限列表中勾选【授予】栏中的全部复选框，使得予】栏中的全部复选框，使得minimini用户具用户具有对这个表的所有操作权限。同样的权限有对这个表的所有操作权限。同样的权限设置也赋予其他表。在设置每个表的【更设置也赋予其他表。在设置每个表的【更新】权限时，【列权限】按钮会变为有效，新】权限时，【列权限】按钮会变为有效，这时可以单击【列权限】按钮，弹出【列这时可以单击【列权限】按钮，弹出【列权限】对话框，在其中可以授予用户对字权限】对话框，在其中可以授予用户对字段的修改权限，单击【确定】按钮返回【段的修改权限，单击【确定】按钮返回【数据库用户】对话框，所有操作完成后，数据库用户】对话框，所有操作完成后，单击【确定】按钮保存所有操作。单击【确定】按钮保存所有操作。l使用登录名登录使用登录名登录l权限设置完成后，为了使新建的用户权限设置完成后，为了使新建的用户minimini能登陆能登陆Sql Server2008Sql Server2008并进行操作，下面并进行操作，下面还需要进行进一步的设置操作：还需要进行进一步的设置操作：lA A、启动并登录、启动并登录SQL Server Management SQL Server Management Studio,Studio,在【对象资源管理器】面板中右击在【对象资源管理器】面板中右击Sql ServerSql Server实例实例“1MC”“1MC”，在弹出的快捷菜，在弹出的快捷菜单中选择【属性】命令，弹出【服务器属单中选择【属性】命令，弹出【服务器属性对话框】。选择【安全性】，在【服务性对话框】。选择【安全性】，在【服务器身份验证】选项组中点选【器身份验证】选项组中点选【SQl ServerSQl Server和和WindowsWindows身份验证模式】单选按钮，然后身份验证模式】单选按钮，然后单击【确定】按钮，如果选择【单击【确定】按钮，如果选择【WindowsWindows身身份验证模式】，在用份验证模式】，在用Sql serverSql server登录名进登录名进行登录时会弹出错误提示。行登录时会弹出错误提示。lB B、启动、启动SQL Server Management StudioSQL Server Management Studio，首，首先弹出【连接服务器】对话框，在【身份验先弹出【连接服务器】对话框，在【身份验证】下拉列表框中选择【证】下拉列表框中选择【Sql serverSql server身份验身份验证】选项，在【登录名】文本框中输入【证】选项，在【登录名】文本框中输入【minimini】,在【密码】文本框中输入在【密码】文本框中输入“mini”“mini”，单击【连接】按钮进行登录，进入单击【连接】按钮进行登录，进入SQL SQL Server Management StudioServer Management Studio的主操作界面。的主操作界面。lC C、在【对象资源管理器】面板中展开【数据、在【对象资源管理器】面板中展开【数据库】库】|【学生】【学生】|【表】分支，可以看到了没【表】分支，可以看到了没有表有表“stu”,“stu”,因为对该表没有操作权，如果因为对该表没有操作权，如果查询查询select*from stuselect*from stu系统将不会执行系统将不会执行角色角色l 角色是为了方便用户权限管理而设计的角色是为了方便用户权限管理而设计的对象。对象。当一个用户进行权限设置时，使用上当一个用户进行权限设置时，使用上节所述的方式很直观、方便。可是实际工作节所述的方式很直观、方便。可是实际工作中往往是有大量用户进行管理操作，此时通中往往是有大量用户进行管理操作，此时通过角色就可以快速解决问题。过角色就可以快速解决问题。l1 1、角色简介：各个角色是对应不同权限的，、角色简介：各个角色是对应不同权限的，SQL Server SQL Server 中有很多权限，可以把这些权限中有很多权限，可以把这些权限组合或单独赋予各个角色，从而使不同角色组合或单独赋予各个角色，从而使不同角色的用户权限不同。的用户权限不同。l 为了便于管理数据库中的权限，为了便于管理数据库中的权限，SqlServerSqlServer提供了若干角色，这些角色是用于提供了若干角色，这些角色是用于分组其他主体的安全主体，类似于分组其他主体的安全主体，类似于Microsoft Microsoft WindowsWindows操作系统中的组。数据库级角色的权操作系统中的组。数据库级角色的权限作用域为数据库范围。限作用域为数据库范围。l Sql ServerSql Server中有两种类型的角色：中有两种类型的角色：服务器服务器角色和数据库角色。角色和数据库角色。l 就如同一般企业管理中的角色，经理就如同一般企业管理中的角色，经理一级可以查看员工档案、财务报表等，而一级可以查看员工档案、财务报表等，而普通员工只能查看自己的档案以及个人工普通员工只能查看自己的档案以及个人工资情况等。资情况等。l 服务器角色主要管理服务器角色主要管理SQL ServerSQL Server的操作，的操作，而数据库角色主要针对数据库中对象的权而数据库角色主要针对数据库中对象的权限操作。限操作。l服务器角色：是指根据服务器角色：是指根据Sql ServerSql Server的管理任务以的管理任务以及这些任务相对的重要性等级，把具有及这些任务相对的重要性等级，把具有Sql Sql serverserver管理职能的用户划分为不同的角色来管理管理职能的用户划分为不同的角色来管理sql serversql server的权限。服务器角色适用于服务器范的权限。服务器角色适用于服务器范围内，围内，其权限不能被修改，也不允许用户创建服其权限不能被修改，也不允许用户创建服务器角色。务器角色。lSql serverSql server内置的各服务器角色如下内置的各服务器角色如下lSysadmin:Sysadmin:固定服务器角色的成员可以在服务器固定服务器角色的成员可以在服务器上执行任何活动，默认情况下，上执行任何活动，默认情况下，Windows Windows BuiltinAdministratorsBuiltinAdministrators组（本地管理员组）的组（本地管理员组）的所有成员都是所有成员都是sysadminsysadmin固定服务器角色的成员。固定服务器角色的成员。lServeradminServeradmin：固定服务器角色的成员可以更改：固定服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。服务器范围的配置选项和关闭服务器。lSecurityadminSecurityadmin：固定服务器角色的成员可以管：固定服务器角色的成员可以管理登录名及其属性。他们可以赋予、拒绝和撤销理登录名及其属性。他们可以赋予、拒绝和撤销服务器级别的权限，还可以赋予、拒绝和撤销数服务器级别的权限，还可以赋予、拒绝和撤销数据库级别的权限，此外，还可以重置据库级别的权限，此外，还可以重置Sql ServerSql Server登录名密码。登录名密码。lProceessadminProceessadmin：固定服务器角色的成员可：固定服务器角色的成员可以终止在以终止在Sql ServerSql Server实例中运行的进程。实例中运行的进程。lSetupadminSetupadmin：固定服务器角色的成员可以：固定服务器角色的成员可以添加和删除链接服务。添加和删除链接服务。lDbcreatorDbcreator：固定服务器角色的成员可以创：固定服务器角色的成员可以创建、更改、删除和还原任何数据库。建、更改、删除和还原任何数据库。l将用户设为服务器角色将用户设为服务器角色l1 1、启动并登录、启动并登录Sql ServerManagement Sql ServerManagement StudioStudio，在【对象资源管理器】面板中展开，在【对象资源管理器】面板中展开【安全性】【安全性】|【登录名】分支，右击【登录名】分支，右击【MINIMINI】，】，在弹出的快捷菜单中选择【属性】命令，弹出在弹出的快捷菜单中选择【属性】命令，弹出【登录属性】对话框。【登录属性】对话框。l2 2、选择【服务器角色】页，在【服务器角色、选择【服务器角色】页，在【服务器角色】列表中勾选【】列表中勾选【dbcreaterdbcreater】前的复选框，是】前的复选框，是登录名为登录名为minimini具有管理数据库角色，然后单击具有管理数据库角色，然后单击【确定】按钮保存设置。【确定】按钮保存设置。l3 3、以登录名为、以登录名为minimini登录，可以进行创建、更登录，可以进行创建、更改、删除和还原任何数据库的操作。改、删除和还原任何数据库的操作。l数据库角色：数据库角色：是对数据库对象操作的权限的集是对数据库对象操作的权限的集合。合。在在Sql serverSql server中，数据库角色可以新建，中，数据库角色可以新建，也可以使用已经存在的数据库角色。数据库角也可以使用已经存在的数据库角色。数据库角色能为某一用户或者一组用户授予不同级别的色能为某一用户或者一组用户授予不同级别的管理访问数据库或者数据库对象的权限，这些管理访问数据库或者数据库对象的权限，这些权限是权限是Sql server Sql server 数据库专有的。数据库专有的。ldb_owner:db_owner:固定数据库角色的成员可以执行数据固定数据库角色的成员可以执行数据库的所有配置和维护活动，还可以删除数据库。库的所有配置和维护活动，还可以删除数据库。ldb_securityadmin:db_securityadmin:固定数据库角色的成员可以固定数据库角色的成员可以修改角色成员身份和管理权限。向此角色中添修改角色成员身份和管理权限。向此角色中添加主体可能会导致意外的权限升级。加主体可能会导致意外的权限升级。ldb_datawriter:db_datawriter:固定数据库角色的成员可以在所固定数据库角色的成员可以在所有用户表中添加、删除或更改数据。有用户表中添加、删除或更改数据。ldb_datareader:db_datareader:固定数据库角色的成员可以从所固定数据库角色的成员可以从所有表中读取数据。有表中读取数据。ldb_denydatawriterdb_denydatawriter：固定数据库角色的成员可：固定数据库角色的成员可以不能添加、删除或更改数据库内用户表中的任以不能添加、删除或更改数据库内用户表中的任何数据。何数据。l db_denydatareader:db_denydatareader:固定数据库角色的成员可固定数据库角色的成员可以不能读取数据库内用户表中的任何数据。以不能读取数据库内用户表中的任何数据。lPublic Public:每个数据库用户都属于每个数据库用户都属于publicpublic数据库角数据库角色。色。如果未向某个用户授予或拒绝对安全对象的如果未向某个用户授予或拒绝对安全对象的特定权限，该用户将继承授予该对象的特定权限，该用户将继承授予该对象的publicpublic角角色的权限。色的权限。l将用户设为数据库角色将用户设为数据库角色l1 1、启动并登录、启动并登录Sql ServerManagement Sql ServerManagement StudioStudio，在【对象资源管理器】面板中展开，在【对象资源管理器】面板中展开【数据库】【数据库】|【学生】【学生】|【安全性】【安全性】|【用户【用户】，单击】，单击minimini，在弹出的快捷菜单中选择属，在弹出的快捷菜单中选择属性命令，弹出【数据库用户】对话框。性命令，弹出【数据库用户】对话框。l2 2、【在数据库角色成员身份】列表中勾选、【在数据库角色成员身份】列表中勾选角色角色db_datareaderdb_datareader前的复选框，使登录名前的复选框，使登录名“mini”“mini”具有读取数据表的角色，然后单击具有读取数据表的角色，然后单击【确定】按钮保存设置。【确定】按钮保存设置。l3 3、以登录名、以登录名“mini”“mini”登录，将可以访问原登录，将可以访问原来并不能查询的来并不能查询的“stu”“stu”，这表明对于，这表明对于“mini”“mini”授予了授予了db_datareaderdb_datareader的角色后，的角色后，它就具有了读取所有数据表的权限。它就具有了读取所有数据表的权限。8.2 8.2 数据库完整性及数据库完整性及SQL ServerSQL Server的完整性控制的完整性控制完整性类完整性类型型约束类型完整性功能描述完整性功能描述域完整性域完整性DEFAULTDEFAULT插插入入数数据据时时，如如果果没没有有明明确确提提供供列列值值，则用缺省值作为该列的值则用缺省值作为该列的值CHECKCHECK指指定定某某个个列列或或列列组组可可以以接接受受值值的的范范围围，或指定数据应满足的条件或指定数据应满足的条件实实体体完完整整性性PRIMARY PRIMARY KEYKEY指指定定主主码码，确确保保主主码码值值不不重重复复，并并不不允允许主码为空值许主码为空值UNIQUEUNIQUE指出数据应具有惟一值，防止出现冗余指出数据应具有惟一值，防止出现冗余参参照照完完整整性性FOREIGN FOREIGN KEYKEY定义外码、被参照表和其主码定义外码、被参照表和其主码8.3 8.3 数据库的并发控制及数据库的并发控制及SQL ServerSQL Server的的并发控制机制并发控制机制 数据库的并发控制就是控制数据库，数据库的并发控制就是控制数据库，防止多用户并发使用数据库时造成数据防止多用户并发使用数据库时造成数据错误和程序运行错误，保证数据的完整错误和程序运行错误，保证数据的完整性。性。1.1.事务的概念事务的概念8.3.1 8.3.1 事务及并发控制的基本概念事务及并发控制的基本概念 事务是用户定义的一个数据库操作序列，事务是用户定义的一个数据库操作序列，这些操作要么全做要么全不做，是一个不这些操作要么全做要么全不做，是一个不可分割的工作单位。可分割的工作单位。在在SQLSQL语言中，定义事务的语句有三条：语言中，定义事务的语句有三条：BEGIN TRANSACTION BEGIN TRANSACTION；COMMIT COMMIT；ROLLBACK TRANSACTION ROLLBACK TRANSACTION；例例 定义一个事务，向借还记录表中添加记定义一个事务，向借还记录表中添加记录。如果添加成功，则图书表中的库存字段录。如果添加成功，则图书表中的库存字段就需修改。否则不操作。就需修改。否则不操作。BEGIN TRANBEGIN TRAN UPDATE BORROW UPDATE BORROW SET RDATE=GETDATE()SET RDATE=GETDATE()WHERE BOOKID=TP2003-002 AND WHERE BOOKID=TP2003-002 AND CARDID=T0001CARDID=T0001IF IF error=0error=0