Data Control Language (DCL)

GRANT, REVOKE en DENY databasismagtigings

Die Data Control Language (DCL) is 'n deelversameling van die Gestruktureerde Query Language (SQL) en stel databasis administrateurs in staat om veiligheids toegang tot relasionele databasisse te konfigureer. Dit komplementeer die Data Definisie Taal (DDL), wat gebruik word om databasis voorwerpe te voeg en te verwyder, en die Data Manipulation Language (DML) gebruik om die inhoud van 'n databasis te herwin, in te voeg en te verander.

DCL is die eenvoudigste van die SQL-subsette , aangesien dit slegs uit drie opdragte bestaan: GRANT, REVOKE, en DENY. Gekombineer, bied hierdie drie opdragte administrateurs die buigsaamheid om databasistoestemmings op 'n uiters korrele wyse te stel en te verwyder.

Toevoeging van toestemmings Met die GRANT-opdrag

Die bevel GRANT word deur administrateurs gebruik om nuwe toestemmings by 'n databasis gebruiker by te voeg. Dit het 'n baie eenvoudige sintaksis, soos volg gedefinieer:

GRANT [voorreg] OP [voorwerp] AAN [gebruiker] [MET TOELATINGSOPTIES]

Hier is die oorsig van elk van die parameters wat u met hierdie opdrag kan voorsien:

• Privilege kan óf die sleutelwoord ALLE wees ('n wye verskeidenheid toestemmings verleen) of 'n spesifieke databasis toestemming of stel toestemmings. Voorbeelde sluit in SKEP DATABASIS, SELECT, INSERT, UPDATE, DELETE, EXECUTE en CREATE VIEW.
• Voorwerp kan enige databasisvoorwerp wees. Die geldige voorregopsies wissel na gelang van die tipe databasisvoorwerp wat u in hierdie klousule insluit. Tipies sal die voorwerp óf 'n databasis, funksie, gestoor prosedure , tabel of aansig wees.
• Gebruiker kan enige databasis gebruiker wees. Jy kan ook 'n rol vir die gebruiker in hierdie klousule vervang as jy van rolgebaseerde databasis sekuriteit gebruik wil maak.
• As u die opsionele MET GRANT OPTION- klousule aan die einde van die GRANT-opdrag insluit, verleen u nie net die toestemmings wat in die SQL-stelling gedefinieer is nie, maar gee ook die gebruiker die geleentheid om dieselfde regte toe te ken aan ander databasisgebruikers. Om hierdie rede, gebruik hierdie klousule versigtig.

Byvoorbeeld, aanvaar dat jy die gebruiker Joe wil toestaan ​​om inligting van die werknemerstafel in 'n databasis genaamd HR te haal. U kan die volgende SQL-opdrag gebruik:

GRANT SELECT OP HR.employees TO Joe

Joe sal nou die vermoë hê om inligting van die werknemerstafel te kry. Hy sal egter nie toegelaat word om ander gebruikers toestemming te gee om inligting van die tabel af te haal nie, aangesien u die WITH GRANT OPTION-klousule in die GRANT-verklaring nie ingesluit het nie.

Herroep databasis toegang

Die REVOKE-opdrag word gebruik om databasis toegang te verwyder van 'n gebruiker wat voorheen sodanige toegang verleen het. Die sintaksis vir hierdie opdrag word soos volg gedefinieer:

REVOKE [GRANT OPTION FOR] [toestemming] OP [voorwerp] VAN [gebruiker] [CASCADE]

Hier is die uittreksel op die parameters vir die REVOKE bevel:

• Toestemming spesifiseer die databasis toestemmings om van die geïdentifiseerde gebruiker te verwyder. Die bevel herroep beide GRANT en DENY bewerings wat voorheen vir die geïdentifiseerde toestemming gemaak is.
• Voorwerp kan enige databasisvoorwerp wees. Die geldige voorregopsies wissel na gelang van die tipe databasisvoorwerp wat u in hierdie klousule insluit. Tipies sal die voorwerp óf 'n databasis, funksie, gestoor prosedure, tabel of aansig wees.
• Gebruiker kan enige databasis gebruiker wees. Jy kan ook 'n rol vir die gebruiker in hierdie klousule vervang as jy van rolgebaseerde databasis sekuriteit gebruik wil maak.
• Die GRANT OPTION FOR clause verwyder die gespesifiseerde gebruiker se vermoë om die gespesifiseerde toestemming aan ander gebruikers toe te staan. Nota : As u die GRANT OPTION FOR- klousule in 'n REVOKE-stelling insluit, word die primêre toestemming nie herroep nie. Hierdie klousule herroep slegs die toekenningsvermoë.
• Die CASCADE- opsie herroep ook die gespesifiseerde toestemming van enige gebruiker wat die gespesifiseerde gebruiker toestemming verleen.

Byvoorbeeld, die volgende opdrag herroep die toestemming wat aan Joe verleen is in die vorige voorbeeld:

REVOKE SELECT ON HR.employees FROM Joe

Ontken toegang tot databasis

Die bevel DENY word gebruik om eksplisiet te verhoed dat 'n gebruiker 'n spesifieke toestemming ontvang. Dit is handig as 'n gebruiker 'n lid of 'n groep of groep is wat 'n toestemming het, en jy wil voorkom dat daardie individuele gebruiker die toestemming erveer deur 'n uitsondering te skep. Die sintaksis vir hierdie opdrag is soos volg:

DENY [toestemming] OP [voorwerp] AAN [gebruiker]

Die parameters vir die bevel DENY is identies aan dié wat gebruik word vir die GRANT-opdrag.

As u byvoorbeeld wil verseker dat Matteus nooit die vermoë sal hê om inligting uit die werknemerstafel te verwyder nie, moet u die volgende opdrag uitreik:

ONTMOET WEG OP MIV. Werknemers AAN Matteus