密码和用户名的规范

　　有相当数量的ORACLE用户名和密码一致，这是个很不安全的因素。我们建议ORACLE用户名和密码一定不要一样，密码最好在五，六位字符以上。不同用户间不应该使用相同的密码。用户名的定义可根据实际应用的英文名来设，而依据编程人员的姓名定义的用户名实际上不规范，可在日后的工作中结合上述有关存储结构规范的说明逐步改进。

　　·设置初始化参数REMOTE_LOGIN_PASSWORDFILE:

　　在Oracle数据库实例的初始化参数文件中，此参数控制着密码文件的使用及其状态。它可以有以下几个选项:

　　NONE:指示Oracle系统不使用密码文件，特权用户的登录通过操作系统进行身份验证;

　　EXCLUSIVE:指示只有一个数据库实例可以使用此密码文件。只有在此设置下的密码文件可以包含有除INTERNAL/SYS以外的用户信息，即允许将系统权限SYSOPER/SYSDBA授予除INTERNAL/SYS以外的其他用户。

　　SHARED:指示可有多个数据库实例可以使用此密码文件。在此设置下只有INTERNAL/SYS帐号能被密码文件识别，即使文件中存有其他用户的信息，也不允许他们以SYSOPER/SYSDBA的权限登录。此设置为缺省值。

　　在REMOTE_LOGIN_PASSWORDFILE参数设置为EXCLUSIVE、SHARED情况下，Oracle系统搜索密码文件的次序为:在系统注册库中查找ORA_SID_PWFILE参数值(它为密码文件的全路径名);若未找到，则查找ORA_PWFILE参数值;若仍未找到，则使用缺省值ORACLE_HOMEDATABASEPWDSID.ORA;其中的SID代表相应的Oracle数据库系统标识符。

　　·向密码文件中增加、删除用户:

　　当初始化参数REMOTE_LOGIN_PASSWORDFILE设置为EXCLUSIVE时，系统允许除INTERNAL/SYS以外的其他用户以管理员身份从远端或本机登录到Oracle数据库系统，执行数据库管理工作;这些用户名必须存在于密码文件中，系统才能识别他们。由于不管是在创建数据库实例时自动创建的密码文件，还是使用工具ORAPWD.EXE手工创建的密码文件，都只包含INTERNAL/SYS用户的信息;为此，在实际操作中，可能需要向密码文件添加或删除其他用户帐号。

　　由于仅被授予SYSOPER/SYSDBA系统权限的用户才存在于密码文件中，所以当向某一用户授予或收回SYSOPER/SYSDBA系统权限时，他们的帐号也将相应地被加入到密码文件或从密码文件中删除。由此，向密码文件中增加或删除某一用户，实际上也就是对某一用户授予或收回SYSOPER/SYSDBA系统权限。

　　要进行此项授权操作，需使用SYSDBA权限(或INTERNAL帐号)连入数据库，且初始化参数REMOTE_LOGIN_PASSWORDFILE的设置必须为EXCLUSIVE。具体操作步骤如下:

　　创建相应的密码文件;

　　设置初始化参数REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE;

　　使用SYSDBA权限登录: CONNECT　SYS/internal_user_passsword　AS　SYSDBA;

　　启动数据库实例并打开数据库;

　　创建相应用户帐号，对其授权(包括SYSOPER和SYSDBA): 授予权限:GRANT　SYSDBA　TO　user_name;

　　收回权限:REVOKE　SYSDBA　FROM　user_name;

　　现在这些用户可以以管理员身份登录数据库系统了;

　　·使用密码文件登录:

　　有了密码文件后，用户就可以使用密码文件以SYSOPER/SYSDBA权限登录Oracle数据库实例了，注意初始化参数REMOTE_LOGIN_PASSWORDFILE应设置为EXCLUSIVE或SHARED。任何用户以SYSOPER/SYSDBA的权限登录后，将位于SYS用户的Schema之下，以下为两个登录的例子:

　　1. 以管理员身份登录:

　　假设用户scott已被授予SYSDBA权限，则他可以使用以下命令登录:

　　CONNECT　scott/tiger　AS　SYSDBA

　　2. 以INTERNAL身份登录:

　　CONNECT　INTERNAL/INTERNAL_PASSWORD

　　·密码文件的维护:

　　1. 查看密码文件中的成员:

　　可以通过查询视图V$PWFILE_USERS来获取拥有SYSOPER/SYSDBA系统权限的用户的信息，表中SYSOPER/SYSDBA列的取值TRUE/FALSE表示此用户是否拥有相应的权限。这些用户也就是相应地存在于密码文件中的成员。

2. 扩展密码文件的用户数量:

　　当向密码文件添加的帐号数目超过创建密码文件时所定的限制(即ORAPWD.EXE工具的MAX_USERS参数)时，为扩展密码文件的用户数限制，需重建密码文件，具体步骤如下:

　　a) 查询视图V$PWFILE_USERS，记录下拥有SYSOPER/SYSDBA系统权限的用户信息;

　　关闭数据库;

　　c) 删除密码文件;

　　d) 用ORAPWD.EXE新建一密码文件;

　　e) 将步骤a中获取的用户添加到密码文件中。

　　3. 修改密码文件的状态:

　　密码文件的状态信息存放于此文件中，当它被创建时，它的缺省状态为SHARED。可以通过改变初始化参数REMOTE_LOGIN_PASSWORDFILE的设置改变密码文件的状态。当启动数据库事例时，Oracle系统从初始化参数文件中读取REMOTE_LOGIN_PASSWORDFILE参数的设置;当加载数据库时，系统将此参数与口令文件的状态进行比较，如果不同，则更新密码文件的状态。若计划允许从多台客户机上启动数据库实例，由于各客户机上必须有初始化参数文件，所以应确保各客户机上的初始化参数文件的一致性，以避免意外地改变了密码文件的状态，造成数据库登陆的失败。

　　4. 修改密码文件的存储位置:

　　密码文件的存放位置可以根据需要进行移动，但作此修改后，应相应修改系统注册库有关指向密码文件存放位置的参数或环境变量的设置。

　　5. 删除密码文件:

　　在删除密码文件前,应确保当前运行的各数据库实例的初始化参数REMOTE_LOGIN_PASSWORDFILE皆设置为NONE。在删除密码文件后，若想要以管理员身份连入数据库的话，则必须使用操作系统验证的方法进行登录。

　　但是管理员都觉得乏味，因为在管理员中流行一种很简单的加密办法–就是经常，很频繁地修改自己的密码。可是，每次修改都跟打一次仗似的–因为更新程序并不是每个人都愿意做的事情。

　　那么有没有什么简单点的办法呢?请往下看:

　　模型:Oracle7.3;开发工具:Develope2000。收费系统(在数据库中的名称是SFYY)，其Client端分散在市区的数个营业点，通过城域网与主机(小型 机)相连。

　　过程:

　　·在收费小型机Oracle系统的system用户(DBA)下，创建新用户test;

　　create user test

　　identified by carton

　　default tablespace dataspace1

　　quota 100K

　　·对test用户授以权限;

　　grant create session to test;

　　grant resource to test;

　　·在test用户下建立一个存储函数mmtranslate,它其实是一个加密程序。下面是一个简 单的例子。

　　function mmtranslate(m varchar2)

　　return varchar2

　　as

　　i number(2);

　　kk varchar2(10);

　　begin

kk:=′′;

　　i:=1;

　　loop

　　if i<=length(m) then

　　if instr(′1234567890′,substr(m,i,1),1,1)>0 then

　　kk:=kk||chr(100+to_number(substr(m,i,1)));

　　elseif instr(‘wxyz‘,substr(m,i,1),1,1)>0 then

　　kk:=kk||chr(-8+ascii(substr(m,i,1)));

　　else

　　kk:=kk||chr(4+ascii(substr(m,i,1)));

　　end if;

　　else

　　exit;

　　end if;

　　i:=i+1;

　　end loop;

　　return kk;

　　exception

　　when others then

　　return ′-1′;

　　end;

　　·在test用户下建表mmtest并插入记录:

　　create table mmtest

　　(usnamevarchar2(6),——用户名称

　　mimavarchar2(6)——加密前的密码);

　　insert into mmtest values( ‘sfyy‘,‘eds2‘);

　　commit;

　　·执行以下语句

　　SQL>select mmtranslate(‘eds2‘) from dual;

　　MMTRANSLATE(‘EDS2‘)

　　—————————————-

　　ihwf

　　利用DBA权限更改sfyy的密码为上面语句的执行结果:

　　alter user sffy

　　identified by ihwf;