- •Тема 1) Введение в sql
- •Операторы ddl (Data Definition Language) - операторы определения объектов базы данных
- •Операторы dml (Data Manipulation Language) - операторы манипулирования данными
- •Операторы защиты и управления данными
- •К операторам определения объектов базы данных можно отнести следующие операторы…
- •2.2) Создание/уничтожение таблиц базы данных
- •2.3) Создание (удаление) индексов
- •Тема 3) Определение ограничений для таблиц бд
- •Тема 4) Действие ограничений целостности
- •Тема 5) Выборка данных (предложение select)
- •Тема 8) Выборка с упорядочением и агрегированием данных
- •Тема 8) Запросы с использованием нескольких таблиц
- •Тема 9) Реализация операций реляционной алгебры предложением select
- •Тема 10) Создание представлений
- •Тема 11) Предложения модификации данных
- •Тема 12) Безопасность и санкционирование доступа
- •Тема 13) Обработка транзакций
Тема 12) Безопасность и санкционирование доступа
В контексте баз данных термин безопасность означает защиту данных от несанкционированного раскрытия, изменения или уничтожения. SQL позволяет индивидуально защищать как целые таблицы, так и отдельные их поля. Для этого имеются две более или менее независимые возможности:
механизм представлений, рассмотреный в предыдущей главе и используемый для скрытия засекреченных данных от пользователей, не обладающих правом доступа;
подсистема санкционирования доступа, позволяющая предоставить указанным пользователям определенные привилегии на доступ к данным и дать им возможность избирательно и динамически передавать часть выделенных привилегий другим пользователям, отменяя впоследствии эти привилегии, если потребуется.
Обычно при установке СУБД в нее вводится какой-то идентификатор, который должен далее рассматриваться как идентификатор наиболее привилегированного пользователя - системного администратора. Каждый, кто может войти в систему с этим идентификатором (и может выдержать тесты на достоверность), будет считаться системным администратором до выхода из системы. Системный администратор может создавать базы данных и имеет все привилегии на их использование. Эти привилегии или их часть могут предоставляться другим пользователям (пользователям с другими идентификаторами). В свою очередь, пользователи, получившие привилегии от системного администратора, могут передать их (или их часть) другим пользователям, которые могут их передать следующим и т.д.
Привилегии предоставляются с помощью предложения GRANT (предоставить), общий формат которого имеет вид
GRANT привилегии ON объект TO пользователи;
В нем "привилегии" - список, состоящий из одной или нескольких привилегий, разделенных запятыми, либо фраза ALL PRIVILEGES (все привилегии); "объект" - имя и, если надо, тип объекта (база данных, таблица, представление, индекс и т.п.); "пользователи" - список, включающий один или более идентификаторов санкционирования, разделенных запятыми, либо специальное ключевое слово PUBLIC (общедоступный).
К таблицам (представлениям) относятся привилегии SELECT, DELETE, INSERT и UPDATE [(столбцы)], позволяющие соответственно считывать (выполнять любые операции, в которых используется SELECT), удалять, добавлять или изменять строки указанной таблицы (изменение можно ограничить конкретными столбцами). Например, предложение
GRANT SELECT, UPDATE (Труд) ON Блюда TO cook;
позволяет пользователю, который представился системе идентификатором cook, использовать информацию из таблицы Блюда, но изменять в ней он может только значения столбца Труд.
Если пользователь USER_1 предоставил какие-либо привилегии другому пользователю USER_2, то он может впоследствии отменить все или некоторые из этих привилегий. Отмена осуществляется с помощью предложения REVOKE (отменить), общий формат которого очень похож на формат предложения GRANT:
REVOKE привилегии ON объект FROM пользователи;
Например, можно отобрать у пользователя cook право изменения значений столбца Труд:
REVOKE UPDATE (Труд) ON Блюда FROM cook;
Задание к теме 12:
Исходные данные: Пусть имеются таблицы БД со следующей структурой
Продавцы (Таб.номер, ФИО, город)
Товары (Номер товара, Наименование)
Движение товаров (дата, таб.номер продавца, код товара, цена, ФИО покупателя)
Передайте Иванову право на изменение цены товаров в таблице Движение товаров.
Передайте Сидорову право передавать другим пользователям право делать запросы в таблице Движение товаров.
Отнимите привилегию INSERT (ВСТАВКА) в таблице Продавцы у Cидорова и у всех пользователей которым она была предоставлена.
Передайте Петрову право вставлять или модифицировать таблицу Товаров.
Разрешите Крылову делать запросы в таблице Продавцы, но запретите ему изменять Табельные номера сотрудников в этой таблице.