Điều khiển truy cập dữ liệu

Điều khiển truy cập dữ liệuMô hình an toàn của SQL Server(1) Login security :Xác thực kết nối đến SQL server(2) Database security: Quyền truy cập đến database cụ thể (3) Database objects security – quyền truy cập đến các đối tượng của database(1) Login securityWindows account logina Windows account (mặc định bất kỳ account nào của windows cũng login được vào SQL server, tuy nhiên chưaa member of a Windows group (có 2 nhóm mặc định: BUILTIN\Administrators và BUILTIN\Users)CREATE LOGIN [ccs-pc\hoanpt] FROM WINDOWS WITH DEFAULT_DATABASE = [qlnv];GO a SQL Server loginCREATE LOGIN testWITH PASSWORD = '123456‘GOXóa login:DROP LOGIN test(2) Database securityLogin mới được tạo chỉ mới có quyền login vào SQL server, để cấp quyền truy cập vào database thì phải cấp cho login một user (thường tên database user trùng với tên login)USE QLNVCREATE USER hoanpt FOR LOGIN [ccs-pc\hoanpt]CREATE USER test [FOR LOGIN test](3) Database objects securityUser (or Login) mới được tạo chỉ mới có quyền access vào database, để User (or Login) có quyền (select/insert/update/execute, ) trên đối tượng nào (table, view, SP, UDF, ) thì người quản trị cần cấp quyền rất cụ thểGRANT SELECT ON nhanvien TO test;GRANT, REVOKE, DENYGRANT REVOKE, and DENYGRANT [privilege]ON [object]TO [user][WITH GRANT OPTION]REVOKE [GRANT OPTION FOR] [permission]ON [object]FROM [user][CASCADE]DENY [permission]ON [object]TO [user]object and privilegeObjectPrivilegesSecurity commandsSQL server SQL server Login Create/drop database(1) Create login (2) Drop login (3) USE masterCREATE USER GRANT CREATE DATABASE TO Database- DB user- BACKUP DATABASE, BACKUP LOG, CREATE TABLE, CREATE FUNCTION, CREATE VIEW, CREATE RULEUse (1) Create user [for ](2) Drop user (3) Grant/Revoke/DenyTable, ViewSELECT, INSERT, DELETE, UPDATEGrant /Revoke/Deny SP, UDFEXECUTERoleRole là một privilege group nhóm các quyền thành một bó. Khi gán loginID hoặc UserID cho role thì loginID hoặc userID có tất cả các quyền trong role đó. (Giống như Windows NT local groups: administrators, users, ) Role giúp giảm bớt các thao tác gán quyền truy cập dữ liệu (gán một nhóm quyền cho 1 loginID hoặc userID, hoặc gán nhóm quyền cho một nhóm các user: Windows NT local groups)Có 3 loại role:server role (role ở mức SQL server - login)database role (role ở mức database - user)application role (role ở mức application)Server roles (Or login roles)There are seven fixed server roles (và chỉ có các fixed roles này):sysadmin: The members of sysadmin server role can perform any activity in SQL Server and have completes control over all database functions.Serveradmin: setupadminsecurityadminprocessadmindbcreator: The members of dbcreator server role can create, alter, and resize databases.diskadmin:sp_addsrvrolemember [@loginame =] 'login', [@rolename =] 'role‘sp_dropsrvrolemember [@loginame =] 'login', [@rolename =] 'role'Database roles (user roles)There are nine fixed database roles:db_ownerdb_accessadmindb_datareaderdb_datawriterdb_ddladmindb_securityadmindb_backupoperatordb_denydatareaderdb_denydatawriterUse sp_addrolemember [@rolename =] 'role', [@membername =] ‘userID‘User-Defined Database Roles:Use sp_addrole [@rolename =] 'role' [,[@ownername =] 'owner']Grant to [role]sp_addrolemember [@rolename =] 'role', [@membername =] ‘userID‘