對資料的訪問是通過SQL Server 2008的許可權層次結構進行管理的。可以通過GRANT、DENY和REVOKE語句來管理這個許可權層次結構。

●       GRANT：允許一個數據庫使用者或角色執行所授許可權指定的操作。

●       DENY：拒絕一個數據庫使用者或角色的特定許可權，並且阻止它們從其他角色中繼承這個許可權。

●       REVOKE：取消先前被授予或拒絕的許可權。

5.5.1  管理對SQL Server例項和資料庫的訪問

1. 控制登入操作

SQL Server 2008提供了一個精細的許可權結構，能夠更出色地控制登入操作。可以通過GRANT、DENY和REVOKE語句來控制權限，通過sys.Server_permissions目錄檢視來獲取有關服務許可權的資訊。

如下語句將為登入名Marylogin授予建立和執行SQL Server Profiler跟蹤的許可權：

GRANT ALTER TRACE TO Marylogin;

使用者可以通過使用fn_my_permissions函式來了解自己的許可權。如下語句將顯示使用者的許可權：

SELECT * FROM fn_my_permissions (NULL, 'SERVER');

2. 為資料庫角色授予許可權

除了使用固定資料庫角色之外，還可以為資料庫角色授予小粒度的資料庫許可權。下面的語句將為資料庫使用者Peteruse授予BACKUP DATABASE(備份資料庫)許可權：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant permissions to the database user Peteruse

-- to backup the database 例項資料庫.

GRANT BACKUP DATABASE TO Peteruse;

5.5.2  管理對錶和列的訪問

1. 更改對錶的訪問

使用者對錶所擁有的有效許可權控制著使用者對錶的訪問行為。可以通過管理表的許可權來控制資料庫使用者對錶的訪問。如表5-4所示的就是可以管理的表的許可權。可以對資料庫使用者或角色指定這些許可權。

表5-4  表的許可權

可以使用GRANT語句授權資料庫使用者或者角色對錶的訪問。如下語句將授予使用者Peteruse對錶Adminschema.Student的SELECT、INSERT和UPDATE許可權：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant some permissions to Peteruse on the Adminschema.Student table.

GRANT SELECT,INSERT,UPDATE

ON Adminschema.Student

TO Peteruse;

限制對錶的訪問，有兩種不同的情況。如果已經為使用者授予了表的這種許可權，則應該使用REVOKE語句清除之前授予的許可權。示例如下：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Revoke SELECT permissions from Peteruse on the Adminschema.Student table

REVOKE SELECT

ON Adminschema.Student

TO Peteruse;

然而，如果使用者隸屬於某個具備此許可權的角色，則使用者可能依然具備通過REVOKE語句取消的許可權。在這種情況下，需要使用DENY語句來拒絕該使用者的訪問。示例如下：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Deny DELETE permission to Peteruse on the Adminschema.Student table,

-- regardless of what permissions this user might

-- inherit from roles.

DENY DELETE

ON Adminschema.Student

TO Peteruse;

2. 提供對列的單獨訪問

SQL Server 2008提供了授予或拒絕訪問單獨列的許可權，這個特性提供了靈活的拒絕訪問機制，例如，保護某些列上的機密資料。如表5-5所示的是可以管理的列許可權。

表5-5  列許可權

授權對列的訪問，也使用GRANT語句。以下示例為Peteruse使用者授予了在表Adminschema.Student的StudentDate和ClientID列上SELECT和UPDATE的許可權。

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant SELECT and UPDATE permissions to Peteruse

-- on some specific columns of the Adminschema.Student table

GRANT SELECT,UPDATE (

StudentDate,

ClientID)

ON Adminschema.Student

TO Peteruse;

取消對列的訪問授權，與取消對錶的訪問授權類似，可以使用REVOKE語句來實現，但如果要阻止一個使用者獲得某種許可權，則需要使用DENY語句。

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Revoke previosly granted or denied permissions

-- from Peteruse on the StudentDate column.

REVOKE UPDATE (StudentDate)

ON Adminschema.Student

TO Peteruse;

5.5.3  管理對可程式設計物件的訪問

可程式設計物件，如儲存過程及使用者定義的函式，具有自己的安全上下文。資料庫使用者需要獲得授權才能執行儲存過程、函式和程式集。一旦資料庫引擎檢查了執行可程式設計物件的許可權，就會在可程式設計物件內部對其所執行的操作進行許可權檢查。當資料庫物件按順序相互訪問時，該訪問順序將形成一個所有權鏈。

1. 管理儲存過程的安全性

在各種資料庫物件中，儲存過程是資料庫開發人員最常使用的資料庫物件。與其他資料庫物件一樣，儲存過程也是需要保護的物件。使用者需要具備執行操作的許可權，就像建立一個儲存過程一樣，使用者需要具備相應的許可權來執行一個儲存過程。如表5-6所示是可以為儲存過程授予的許可權。

表5-6  儲存過程許可權

在執行一個儲存過程時，SQL Server會檢查當前資料庫使用者是否具有該儲存過程的EXECUTE許可權。下面的語句將為資料庫使用者Peteruse 授予儲存過程dbo.uspGetBillOfMaterials的EXECUTE許可權：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant EXECUTE permission to Peteruse on a stored procedure.

GRANT EXECUTE On dbo.uspGetBillOfMaterials

TO Peteruse;

同樣地，如果要阻止一個使用者執行某個儲存過程，可以取消或者拒絕該使用者的EXECUTE許可權。

2. 管理使用者定義函式的安全性

使用者定義函式和儲存過程一樣，也是可程式設計物件。主要存在兩種型別的使用者定義函式：只返回單一值的標量函式和返回一個表資料型別值的表值函式。根據使用者定義函式型別的不同，可以對函式授予EXECUTE或SELECT許可權，如表5-7所示。

表5-7  使用者定義函式許可權

對於執行表值函式，SQL Server將檢查使用者是否擁有此函式所返回的表的SELECT許可權。可以採用與為表授予SELECT許可權相同的方式來為表值函式授予SELECT許可權。如下語句將授予資料庫使用者Peteruse對使用者定義函式dbo.ufnGetContactInformation的SELECT許可權：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant permission to Peteruse to execute a user defined function.

GRANT SELECT ON dbo.ufnGetContactInformation

TO Peteruse;

注意：

表值函式還有另外一種型別，叫做行內函數。行內函數在功能上等同於檢視，但是它支援引數。從安全形度來講，這種型別的函式等同於檢視。

對於執行標量函式，資料庫使用者需要在函式上具備EXECUTE許可權。可以採用與為儲存過程授予EXECUTE許可權相同的方式來為標量函式授予EXECUTE許可權。如下語句將授予資料庫使用者Peteruse對使用者定義函式dbo.ufnGetContactInformation的EXECUTE許可權：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant Peteruse permission to execute a user defined function.

GRANT EXECUTE ON dbo.ufnGetStock

TO Peteruse;

3. 管理程式集的安全性

SQL Server 2008提供了在資料庫引擎內部包含.NET程式集(引用.dll檔案的物件)，並在儲存過程及函式中呼叫這些程式集的能力。可以為程式集分配與儲存過程一樣的許可權，這些許可權如表5-6所示。

(1) 許可權集

建立一個程式集時，需要指定一個許可權集。許可權集指定了程式集在SQL Server中所授予的一個程式碼訪問許可權的集合。許可權集具有如下3種不同的型別。

●       SAFE型別：程式集執行的程式碼不能訪問外部系統資源。SAFE型別是最受限制的許可權集合，並且是預設的型別。

●       EXTERNAL_ACCESS型別：程式集可以訪問外部系統資源。

●       UNSAFE型別：程式集可以執行非託管程式碼。

對於不需要訪問外部資源的程式集，推薦使用SAFE型別的許可權集。

(2) 執行一個程式集

當一個應用程式嘗試訪問程式集中的物件時，資料庫引擎會檢查當前使用者是否具有該程式集的EXECUTE許可權。如下語句將授予資料庫使用者Peteruse對程式集的EXECUTE許可權：

-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Grant Peteruse permission to execute an assembly.

GRANT EXECUTE ON <AssemblyName>

TO Peteruse;

通過為一個程式集授予EXECUTE許可權，可以為資料庫使用者授予對程式集中所有物件的EXECUTE許可權。

4. 管理所有權鏈

所有權鏈是資料物件互相訪問的順序。例如，在一個儲存過程中，向一個表中插入一行資料，儲存過程稱為呼叫物件，表稱為被呼叫物件。SQL Server遍歷這個鏈中的連結時，與單獨訪問資料庫物件時的方式不同，資料庫引擎會以另一種方式評估對物件的訪問許可權。

在一個鏈中訪問物件時，SQL Server首先會比較物件的所有者與呼叫物件的所有者。如果兩個物件的所有者相同，則不評估被引用物件的許可權。這個特性對管理物件許可權非常有用。例如，假設資料庫使用者Peteruse建立了一個名稱為Person.SupplierContacts的表，並在一個名稱為Person.InsertSupplierContacts的儲存過程中向PersonSupplierContacts表中插入了行。由於這兩個資料物件具有同樣的所有者Peteruse，因此，只需授予其他使用者對儲存過程Person.InsertSupplier- Contacts的EXECUTE許可權，以允許其他使用者在訪問表PersonSupplierContacts時，依然具有EXECUTE許可權。

注意：

所有權鏈提供了一種強大的封裝演算法。一個數據可以被設計成只通過充分文件化的公共介面(例如儲存過程和使用者定義函式)來對外提供資料訪問，這些儲存過程和使用者定義函式隱藏了資料設計實現的複雜性。資料庫開發人員可以充分利用所有權鏈，在拒絕所有使用者對資料庫中所有表的訪問的同時，仍然可以允許其訪問資料。

5. 管理執行上下文

執行上下文由連線到相應會話的使用者、登入名或者由執行(呼叫)相應模組的使用者或登入名確定。在SQL Server 2008進行物件許可權檢查時，登入名和使用者令牌為其提供了所需的資訊。在SQL Server 2008中，可以使用EXECUTE AS語句來更改執行上下文。這一操作稱為切換執行上下文。

(1) 執行EXECUTE AS

EXECUTE AS語句允許顯式地定義當前連線的執行上下文。可以用EXECUTE AS更改當前連線的登入名或者資料庫使用者。上下文的變化在另一個上下文變更發生前、連線關閉前或者一個REVERT語句執行前始終是有效的。如下語句使用了EXECUTE AS語句為資料庫使用者Peteruse更改執行上下文：

z-- Change the connection context to the database 例項資料庫.

USE 例項資料庫;

GO

-- Change the execution context to the user Peteruse.

EXECUTE AS USER=' Peteruse ';

-- The following statement will be executed under Peteruse 's credentials.

TRUNCATE TABLE dbo.ErrorLog;

由於使用者Peteruse沒有truncate表的許可權，因此，上述程式碼將會產生一個錯誤。而去下truncate表的語句則能成功執行：

-- Change the execution context back to the original state

REVERT;

-- Now the following statement will be executed under

-- the original execution context.

TRUNCATE TABLE dbo.ErrorLog;

(2) 管理上下文切換

除了控制批處理(批處理是包含一個或多個Transact-SQL語句的組，這個組從應用程式一次性地傳送到SQL Server執行，就像前面的TRUNCATE TABLE示例一樣)的執行上下文，還可以控制儲存過程和使用者定義函式的執行上下文。在這些模組中切換上下文時，可以控制在這些儲存過程或者函式中使用哪個使用者帳戶來訪問它所引用的資料庫物件。為此，只需要對EXECUTE AS語句進行如下改動即可。

●       CALLER：儲存過程或者使用者定義函式內的語句都在模組呼叫者的上下文中執行。

●       SELF：所有語句在建立或者更改儲存過程或者使用者定義函式的使用者的上下文中執行。

●       OWNER：所有語句在儲存過程或者使用者定義函式的當前所有者的上下文中執行。

●       <User>：所有語句在指定資料庫使用者或者登入名的上下文中執行。

以下示例將切換上下文到資料庫使用者dbo的上下文中以建立一個儲存過程。然後，為資料庫使用者Peteruse授予這個新建儲存過程的EXECUTE許可權，並更改上下文以測試儲存過程的執行：

-- Create a stored procedure to execute statements

-- as dbo.

CREATE PROCEDURE dbo.usp_TruncateErrorLog

    WITH EXECUTE AS 'dbo'

    AS

    TRUNCATE TABLE dbo.ErrorLog;

GO

-- Grant permissions to execute this procedure to Peteruse.

GRANT EXECUTE ON dbo.usp_TruncateErrorLog TO Peteruse

-- Change the execution context of this batch to Peteruse.

EXECUTE AS [USER=]'Peteruse'

-- Execute the stored procedure.

EXECUTE dbo.usp_TruncateErrorLog

由此可見，在不能通過授權來使使用者執行某些操作時，尤其適合使用上下文切換。