網(wǎng)頁制作基礎(chǔ)教程 （Dreamweaver CC）（第3版）課件 項(xiàng)目12 管理數(shù)據(jù)庫

數(shù)據(jù)庫技術(shù)及應(yīng)用授課人：陳翠松項(xiàng)目12管理數(shù)據(jù)庫小王基本完成了數(shù)據(jù)庫的相關(guān)工作，接下來是對(duì)數(shù)據(jù)庫進(jìn)行安全管理。他計(jì)劃通過用戶管理、權(quán)限管理和角色管理來加強(qiáng)數(shù)據(jù)庫的安全管理，同時(shí)避免SQL注入漏洞的發(fā)生。工作情境目錄01用戶和權(quán)限管理02其他管理03鞏固與小結(jié)04任務(wù)訓(xùn)練01用戶和權(quán)限管理一、用戶和權(quán)限管理任務(wù)分析在應(yīng)用程序中，數(shù)據(jù)非常關(guān)鍵，但數(shù)據(jù)本身不會(huì)保護(hù)自己，需要數(shù)據(jù)庫管理人員、軟件開發(fā)人員和單位管理人員等加強(qiáng)數(shù)據(jù)管理，數(shù)據(jù)庫管理人員可以通過用戶管理、權(quán)限管理和角色管理來加強(qiáng)數(shù)據(jù)管理。小王對(duì)粵文創(chuàng)進(jìn)行分析后得到的任務(wù)清單如下。任務(wù)編號(hào)任務(wù)內(nèi)容任務(wù)12-1創(chuàng)建一個(gè)具用很多權(quán)限的自定義用戶任務(wù)12-2創(chuàng)建3個(gè)普通用戶，分別為user2、user3和user4拓展任務(wù)12-1通過角色為普通用戶授予權(quán)限一、用戶和權(quán)限管理知識(shí)儲(chǔ)備1、系統(tǒng)表1）user表user表位于系統(tǒng)數(shù)據(jù)庫MySQL中，是MySQL中最重要的一個(gè)權(quán)限表，用來記錄允許連接到服務(wù)器的賬號(hào)信息。user表中的所有權(quán)限都是全局級(jí)的，適用于所有數(shù)據(jù)庫。user表中的字段大致可以分為4類，分別為用戶類字段、權(quán)限類字段、安全類字段和資源控制類字段，下面介紹用戶類字段和權(quán)限類字段。（1）用戶類字段。用戶類字段主要用于用戶登錄，如表12-1所示。字段名字段類型說明Hostchar(60)主機(jī)名Userchar(32)用戶名authentication_stringtext密碼一、用戶和權(quán)限管理知識(shí)儲(chǔ)備1、系統(tǒng)表（2）權(quán)限類字段。權(quán)限類字段決定了用戶的權(quán)限，用來描述在全局范圍內(nèi)允許對(duì)數(shù)據(jù)和數(shù)據(jù)庫進(jìn)行的操作。權(quán)限類字段可取的值只有Y和N，Y表示該用戶有對(duì)應(yīng)的權(quán)限，N表示該用戶沒有對(duì)應(yīng)的權(quán)限，權(quán)限類字段的默認(rèn)值都為N，如表12-2所示。字段名字段類型說明Select_privenum('N','Y')SELECT語句用于查詢數(shù)據(jù)權(quán)限Insert_privenum('N','Y')INSERT語句用于插入數(shù)據(jù)權(quán)限Update_privenum('N','Y')UPDATE語句用于修改現(xiàn)有數(shù)據(jù)權(quán)限D(zhuǎn)elete_privenum('N','Y')DELETE語句用于刪除現(xiàn)有數(shù)據(jù)權(quán)限Create_privenum('N','Y')創(chuàng)建新的數(shù)據(jù)庫和表權(quán)限D(zhuǎn)rop_privenum('N','Y')刪除現(xiàn)有數(shù)據(jù)庫和表權(quán)限Reload_privenum('N','Y')執(zhí)行刷新和重新加載MySQL所用的各種內(nèi)部緩存的特定命令的權(quán)限Shutdown_privenum('N','Y')關(guān)閉MySQL服務(wù)器權(quán)限Process_privenum('N','Y')SHOWPROCESSLIST語句用來查看其他用戶的進(jìn)程權(quán)限File_privenum('N','Y')執(zhí)行SELECTINTOOUTFILE和LOADDATAINFILE語句權(quán)限Grant_privenum('N','Y')將自己的權(quán)限再授予其他用戶權(quán)限References_privenum('N','Y')創(chuàng)建外鍵約束權(quán)限Index_privenum('N','Y')對(duì)索引進(jìn)行增、刪、查權(quán)限一、用戶和權(quán)限管理知識(shí)儲(chǔ)備1、系統(tǒng)表字段名字段類型說明Alter_privenum('N','Y')重命名和修改表結(jié)構(gòu)權(quán)限Show_db_privenum('N','Y')查看服務(wù)器上所有數(shù)據(jù)庫的名字權(quán)限Super_privenum('N','Y')執(zhí)行某些強(qiáng)大的管理功能權(quán)限Create_tmp_table_privenum('N','Y')創(chuàng)建臨時(shí)表權(quán)限Lock_tables_privenum('N','Y')使用LOCKTABLES語句阻止對(duì)表的訪問/修改權(quán)限Execute_privenum('N','Y')執(zhí)行存儲(chǔ)過程權(quán)限Repl_slave_privenum('N','Y')讀取用于維護(hù)復(fù)制數(shù)據(jù)庫環(huán)境的二進(jìn)制日志文件權(quán)限Repl_client_privenum('N','Y')用戶是否可以確定復(fù)制從服務(wù)器和主服務(wù)器的位置權(quán)限Create_view_privenum('N','Y')創(chuàng)建視圖權(quán)限Show_view_privenum('N','Y')查看視圖權(quán)限Create_routine_privenum('N','Y')更改或放棄存儲(chǔ)過程和函數(shù)權(quán)限Alter_routine_privenum('N','Y')修改或刪除存儲(chǔ)函數(shù)及函數(shù)權(quán)限Create_user_privenum('N','Y')執(zhí)行CREATEUSER語句權(quán)限，該語句用于創(chuàng)建新的MySQL賬戶Event_privenum('N','Y')創(chuàng)建、修改和刪除事件權(quán)限Trigger_privenum('N','Y')創(chuàng)建和刪除觸發(fā)器權(quán)限Create_tablespace_privenum('N','Y')創(chuàng)建表空間權(quán)限一、用戶和權(quán)限管理知識(shí)儲(chǔ)備1、系統(tǒng)表2）其他權(quán)限表（1）db表。db表比較常用，是MySQL中非常重要的權(quán)限表。db表中存儲(chǔ)了用戶對(duì)某個(gè)數(shù)據(jù)庫的操作權(quán)限，包括用戶類字段和權(quán)限類字段。db表中的字段比較少。可以使用如下語句查看db表的結(jié)構(gòu)：USEmysql;DESCdb;（2）tables_priv表。tables_priv表用來對(duì)單個(gè)表進(jìn)行權(quán)限設(shè)置，包括用戶類字段和權(quán)限類字段。（3）columns_priv表。columns_priv表用來對(duì)單個(gè)數(shù)據(jù)列進(jìn)行權(quán)限設(shè)置，包括用戶類字段和權(quán)限類字段。user表、db表、tables_priv表、columns_priv表都包括用戶類字段和權(quán)限類字段，但它們的操作對(duì)象不同，user表中保存的是登錄MySQL數(shù)據(jù)庫用戶及其擁有的權(quán)限，db表針對(duì)數(shù)據(jù)庫某個(gè)用戶擁有的權(quán)限，tables_priv表針對(duì)單個(gè)表進(jìn)行權(quán)限設(shè)置，columns_priv表針對(duì)單個(gè)數(shù)據(jù)列進(jìn)行權(quán)限設(shè)置。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備2、用戶管理root是MySQL默認(rèn)的超級(jí)用戶，由系統(tǒng)自動(dòng)創(chuàng)建，擁有超級(jí)權(quán)限，能控制整個(gè)MySQL服務(wù)器。1）添加用戶CREATEUSER語句的語法格式如下：CREATEUSER[IFNOTExists]用戶名@主機(jī)名或主機(jī)IP地址[IDENTIFIEDBY[RandomPassword]或[密碼]]需要說明以下幾點(diǎn)?？梢酝瑫r(shí)創(chuàng)建多個(gè)用戶，用戶之間用半角逗號(hào)隔開，“@”前后都不能有空格。主機(jī)名是用戶連接MySQL所用的主機(jī)名，如果沒有指定主機(jī)，那么默認(rèn)為“%”，表示一組主機(jī)，即對(duì)所有主機(jī)開放權(quán)限。主機(jī)IP地址也可以使用通配符“%”，表示一組主機(jī)。用戶名和主機(jī)名可以不加引號(hào)，也可以加半角單引號(hào)或半角雙引號(hào)。相同用戶名不同主機(jī)名是兩個(gè)不同的用戶，允許為這兩個(gè)用戶分配不同的權(quán)限。如果用戶名中包括特殊符號(hào)，如“_”或“%”，就需要使用單引號(hào)引起來。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備2、用戶管理IDENTIFIEDBY用來設(shè)置用戶密碼，IDENTIFIEDBYRandomPassword設(shè)置明文形式的隨機(jī)碼，經(jīng)哈希處理后，保存在mysql.user表中。密碼一定要用半角單引號(hào)或半角雙引號(hào)引起來。示例12-1創(chuàng)建localhost用戶u0和tu，通用用戶u1，密碼為111。CREATEUSERIFNOTExists"u0"@"localhost","u1","tu"@"localhost"IDENTIFIEDBY"111";CREATEUSERIFNOTExists'u0'@'localhost','u1','tu'@'localhost'IDENTIFIEDBY'111';CREATEUSERIFNOTExistsu0@'localhost',u1,tu@'localhost'IDENTIFIEDBY'111';CREATEUSERIFNOTExistsu0@localhost,u1,tu@localhostIDENTIFIEDBY'111';示例12-2創(chuàng)建用戶u2，密碼是隨機(jī)的。CREATEUSERIFNOTEXISTSu2@'localhost'IDENTIFIEDBYRandomPassword;一、用戶和權(quán)限管理知識(shí)儲(chǔ)備2、用戶管理2）修改用戶名使用RENAMEUSER語句可以修改用戶名，語法格式如下：RENAMEUSER舊名TO新名;示例12-3將用戶名tu改為nu。程序代碼如下：RENAMEUSERtu@'localhost'TOnu@'localhost';3）刪除用戶使用DROPUSER語句可以刪除用戶名，語法格式如下：DROPUSER用戶名列表;示例12-4刪除用戶nu。程序代碼如下：DROPUSERnu@'localhost';一、用戶和權(quán)限管理知識(shí)儲(chǔ)備2、用戶管理4）修改用戶密碼（1）可以使用Mysqladmin命令修改用戶密碼，語法格式如下：Mysqladmin-u用戶名–ppassword"新密碼"說明：Mysqladmin是DOS命令而不是MySQL命令，語句結(jié)束不用分號(hào)，直接在DOS環(huán)境下運(yùn)行；用戶名可以是root，也可以是自定義的用戶名；password是關(guān)鍵字；新密碼要用半角雙引號(hào)引起來，不能使用半角單引號(hào)，新密碼要不同于舊密碼。（2）可以使用ALTERUSER語句修改密碼，語法格式如下：ALTERUSER'用戶名'@'主機(jī)名'IDENTIFIEDWITHmysql_native_passwordBY'新密碼';示例12-5將root的密碼修改為“abc”，u0的密碼修改為“666”。程序代碼如下：Mysqladmin–uroot-ppassword"abc"ALTERUSER'u0'@'localhost'IDENTIFIEDWITHmysql_native_passwordBY'666';退出MySQL，執(zhí)行Mysqladmin命令，操作成功后登錄MySQL執(zhí)行ALTERUSER語句。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備3、權(quán)限管理數(shù)據(jù)庫主要操作包括對(duì)象和數(shù)據(jù)的增、刪、改、查操作。顯然，數(shù)據(jù)的增、刪、改操作都可能會(huì)改變數(shù)據(jù)，即這些操作極具危險(xiǎn)性，而查詢操作雖然不會(huì)改變數(shù)據(jù)，但可能會(huì)導(dǎo)致數(shù)據(jù)外泄，其實(shí)也有一定的風(fēng)險(xiǎn)。所以，數(shù)據(jù)庫的權(quán)限管理就是做權(quán)利范圍之內(nèi)的事，不能做權(quán)利范圍之外的事。1）授予權(quán)限MySQL增加的用戶要授權(quán)后才能進(jìn)行相關(guān)操作?？梢允褂肎RANT完成授權(quán)，語法格式如下：GRANT權(quán)限[(字段列表)]ON目標(biāo)TO用戶列表[WITH權(quán)限限制];

需要說明以下幾點(diǎn)?！皺?quán)限”主要包括INSERT、UPDATE、DELETE、SELECT、CREATE和DROP等，后面的字段列表表示設(shè)置字段層級(jí)的權(quán)限，可以省略，表示不針對(duì)具體字段。ALL表示所有權(quán)限?！澳繕?biāo)”用于指定數(shù)據(jù)庫和表，可以使用“*.*”表示所有數(shù)據(jù)庫和所有表，設(shè)置用戶級(jí)即全局級(jí)權(quán)限；“數(shù)據(jù)庫名.*”針對(duì)指定數(shù)據(jù)庫中的所有表設(shè)置數(shù)據(jù)庫層權(quán)限；“數(shù)據(jù)庫名.表名”針對(duì)指定數(shù)據(jù)庫中指定表的所有字段設(shè)置數(shù)據(jù)表級(jí)權(quán)限，此時(shí)可在“權(quán)限[(字段列表)]”中進(jìn)一步設(shè)置針對(duì)某些字段的權(quán)限；“PROCEDURE數(shù)據(jù)庫名.存儲(chǔ)過程名”針對(duì)指定數(shù)據(jù)庫的存儲(chǔ)過程設(shè)置過程級(jí)權(quán)限。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備3、權(quán)限管理“WITH權(quán)限限制”可設(shè)置不同的值：GRANTOPTION，表示在TO子句中指定所有用戶都有把自己所擁有的權(quán)限授予其他用戶的權(quán)利，不管其他用戶是否擁有該權(quán)限；max_queries_per_hourcount，表示每小時(shí)可以查詢數(shù)據(jù)庫的次數(shù)；max_updates_per_hourcount，表示每小時(shí)可以修改數(shù)據(jù)庫的次數(shù)；max_connections_per_hourcount，表示每小時(shí)可以連接數(shù)據(jù)庫的次數(shù)；max_user_connectionscount，表示同時(shí)連接MySQL的最大用戶數(shù)。2）查看權(quán)限可以使用SHOWGRANTS語句查看權(quán)限，語法格式如下：SHOWGRANTSFOR用戶名@主機(jī)名;3）撤銷權(quán)限可以使用REVOKE語句撤消權(quán)銷，語法格式如下：REVOKE權(quán)限名[(字段列表)]ON目標(biāo)FROM用戶名@主機(jī)名;一、用戶和權(quán)限管理知識(shí)儲(chǔ)備3、權(quán)限管理示例12-6先為u0設(shè)置mysql.user表的INSERT權(quán)限，以及其User字段的UPDATE權(quán)限，再顯示設(shè)置的權(quán)限，最后撤銷權(quán)限。程序代碼如下：GRANTINSERT,UPDATE(User)ONmysql.userTOu0@localhost;SHOWGRANTSFORu0@localhost;REVOKEINSERT,UPDATE(User)ONmysql.userFROMu0@localhost;一、用戶和權(quán)限管理知識(shí)儲(chǔ)備4、角色管理MySQL8在用戶管理中增加了角色管理，角色是指定權(quán)限的集合。1）創(chuàng)建角色可以使用CREATEROLE語句創(chuàng)建角色，語法格式如下：CREATEROLE角色名@主機(jī)名列表;2）為角色分配權(quán)限可以使用GRANT語句為角色分配權(quán)限，語法格式如下：GRANT權(quán)限列表ON目標(biāo)TO角色名;3）撤銷角色或角色授權(quán)可以使用REVOKE語句撤銷角色或角色授權(quán)，語法格式如下：REVOKE角色名FROM用戶名;4）刪除角色可以使用DROPROLE語句刪除角色，語法格式如下：DROPROLE角色名列表;一、用戶和權(quán)限管理知識(shí)儲(chǔ)備4、角色管理示例12-7創(chuàng)建角色r1和用戶ur1，將mysql.user的INSERT、UPDATE和DELETE權(quán)限分配給r1，先為用戶ur1分配角色r1，再撤銷用戶ur1的r1角色分配，刪除角色r1和用戶ur1。程序代碼如下：CREATEROLEr1@localhost;CREATEUSERur1@localhost;GRANTINSERT,UPDATE,DELETEONmysql.userTOur1@localhost;SHOWGRANTSFORur1@localhost;REVOKEr1@localhostFROMur1@localhost;DROPROLEr1@localhost;DROPUSERur1@localhost;一、用戶和權(quán)限管理知識(shí)儲(chǔ)備5、通過Navicat管理用戶和權(quán)限1）查看用戶列表啟動(dòng)Navicat，選擇連接名，無須指定數(shù)據(jù)庫，單擊“用戶”圖標(biāo)，顯示用戶列表，如圖12-5所示。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備5、通過Navicat管理用戶和權(quán)限2）新建用戶在新建用戶時(shí)，不僅可以分配權(quán)限，還可以選擇分組。新建用戶的操作步驟如下。（1）單擊在用戶列表上方的“新建用戶”按鈕，在“常規(guī)”選項(xiàng)卡中輸入用戶名和密碼等信息，如圖12-6所示。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備5、通過Navicat管理用戶和權(quán)限（2）先單擊“權(quán)限”選擇卡，再單擊權(quán)限列表上方的“刪除權(quán)限”按鈕，可以刪除指定權(quán)限，單擊圖12-7中的“添加權(quán)限”按鈕可以打開“添加權(quán)限”對(duì)話框，設(shè)置好的權(quán)限列表如圖12-8所示，保存用戶。一、用戶和權(quán)限管理知識(shí)儲(chǔ)備5、通過Navicat管理用戶和權(quán)限3）其他操作（1）選中用戶，單擊用戶列表上方的“編輯用戶”按鈕可以對(duì)用戶和權(quán)限信息進(jìn)行修改。（2）選中用戶，單擊用戶列表上方的“刪除用戶”按鈕可以刪除指定用戶。（3）單擊用戶列表上方的“權(quán)限管理員”按鈕可以對(duì)權(quán)限進(jìn)行管理。一、用戶和權(quán)限管理任務(wù)實(shí)施任務(wù)12-1創(chuàng)建一個(gè)具有很多權(quán)限的自定義用戶。任務(wù)12-2創(chuàng)建3個(gè)普通用戶，分別為user2、user3、user4。拓展任務(wù)12-1通過角色為普通用戶授予權(quán)限。創(chuàng)建角色ru1，先為角色授權(quán)粵文創(chuàng)的user的插入權(quán)限，再分配給普通用戶user2、user3和user4。02其他管理二、其他管理任務(wù)分析小王覺得登錄客戶端后，不能在窗口顯示登錄密碼，這樣非常不安全，所以想隱藏登錄密碼。小王對(duì)粵文創(chuàng)進(jìn)行分析后得到的任務(wù)清單如下。任務(wù)編號(hào)任務(wù)內(nèi)容任務(wù)12-3隱藏登錄密碼二、其他管理知識(shí)儲(chǔ)備1、登錄MySQL客戶端完整的登錄命令如下：mysql[-h主機(jī)名或主機(jī)IP地址][-P端口號(hào)]-u用戶名–p[密碼][數(shù)據(jù)庫名[-eSQL語句]]需要說明以下幾點(diǎn)。主機(jī)名或主機(jī)IP地址：可以指定，也可以不指定，本地名默認(rèn)為“l(fā)ocalhost”，本地主機(jī)IP地址默認(rèn)為“”，可以使用“--host=主機(jī)名”形式。-P端口號(hào)：可以指定端口號(hào)，并且P一定要使用大寫形式，P和后面的端口號(hào)之間要加空格，不指定時(shí)采用默認(rèn)端口3306。-u用戶名：指定登錄用戶名，u和用戶名之間可以加空格，也可以不加空格，可以使用“--user=用戶名”形式。–p[密碼]：可以指定登錄密碼，并且P一定要使用小寫形式，p和密碼之間不能有空格，密碼是可見的，可以省略密碼，按Enter鍵確認(rèn)后，根據(jù)系統(tǒng)提示輸入密碼。數(shù)據(jù)庫名：可選參數(shù)，登錄成功后指定錄當(dāng)前數(shù)據(jù)庫。-eSQL語句：可選參數(shù)，指定數(shù)據(jù)庫后還可指定執(zhí)行的SQL語句，并且語句要加雙引號(hào)，執(zhí)行語句后系統(tǒng)會(huì)自動(dòng)退出客戶端。二、其他管理知識(shí)儲(chǔ)備2、SQL注入及防范SQL注入通常從正常的WWW端口訪問，并且以表面來看和一般的Web頁面訪問沒有什么區(qū)別，所以市面上的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)。如果管理員沒有查看IIS日志的習(xí)慣，那么可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺。SQL注入具有廣泛性、隱蔽性、危害性大和操作方便等特點(diǎn)。SQL注入漏洞自發(fā)現(xiàn)以來，一直是常見的安全漏洞之一。截至目前，SQL注入漏洞仍然在通用漏洞披露CVE列表中排名前列。SQL注入攻擊的危害性很大，并且防火墻很難對(duì)攻擊行為進(jìn)行攔截。主要的SQL注入攻擊防范方法具體包括以下幾個(gè)方面。（1）分級(jí)管理：對(duì)用戶進(jìn)行分級(jí)管理，嚴(yán)格控制用戶的權(quán)限，最好只有系統(tǒng)管理員才具有增、刪、改權(quán)限。（2）參數(shù)傳值：程序員在編寫SQL語句時(shí)，禁止將變量直接寫入SQL語句中，必須通過設(shè)置參數(shù)來傳遞給變量，這樣可以最大限度地防范SQL注入攻擊。二、其他管理知識(shí)儲(chǔ)備2、SQL注入及防