0
我想访问的用户名+密码表限制在一个查询模式,如:是否有可能在PostgreSQL中过滤查询?
SELECT count(id) AS auth_result
FROM user
WHERE username = '%s'
AND password = SHA1('%s')
(此查询不假装从注入漏洞,只是一个例子点工作)
那可能吗?还是我错过了一些不同的方法?
A
回答
2
您可以撤消所有用户,只拥有者所有访问user表,并创建一个视图,像这样:
create view auth_view as
select id, username, sha1(password) as sha1pass
from user;
然后你的查询将是这样的:
select count(id)
from auth_view
where username = '%s'
and sha1pass = sha1('%s')
其他可能性可能会使用PostgreSQL's rule system来重写或避免user表中某些查询之王。但我不确定你在这里做什么。
0
0
我建议你写一个函数,并使其成为SECURITY DEFINER。参见例如http://www.hagander.net/talks/hidden%20gems%20of%20postgresql.pdf,第28-36页。
相关问题
- 1. 是否有可能通过在django中的URL查询文件?
- 2. 是否可以在PostgreSQL中用tenant_id限制所有查询?
- 3. 是否有可能在这个sql中有逻辑过滤器?
- 4. 是否允许在Cassandra中过滤以下查询有效?
- 5. 是否有可能在CSS中链接-ms-过滤器?
- 6. 是否有可能在过滤器中添加客户条件?
- 7. 是否有可能在angularjs中过滤多个条件?
- 8. 过滤器,PostgreSQL的查询结果
- 9. 是否有可能通过子字段对象值查询MongoDB?
- 10. 是否有可能在PostgreSQL中拥有一个hstore数组
- 11. 是否有可能避免这种查询的子查询?
- 12. 是否有可能在mysql查询中使用IF条件?
- 13. 是否有可能在芹菜的tasks.py中执行查询
- 14. 是否有可能在此查询中获得overall_score的总和?
- 15. 是否有可能获得在postgres中查询的历史
- 16. 是否有可能在MySql中完成全文匹配查询
- 17. 是否有可能在LINQ查询中处理异常?
- 18. Gridmvc过滤没有在URL中查询
- 19. 是否有可能过滤DataView的列而不是行
- 20. 是否有可能通过在另一个数组中包含来过滤angular.js?
- 21. 是否有可能在firestore查询上有完成块?
- 22. 是否有可能在App中返回:在Laravel中过滤之前?
- 23. 是否有可能在postgresql中结合结果?
- 24. 是否有可能在Apache Solr中具有默认过滤器值?
- 25. 检查postgresql中的返回查询中是否存在值
- 26. PostgreSQL - 日期过滤功能
- 27. HBase中过滤器查询的性能?
- 28. 是否有可能忽略日期时间过滤RadGridView秒
- 29. 是否有可能过滤嵌入htmlspecialchars()的视频
- 30. 是否有可能利用出口-ModuleMember使用PowerShell过滤
我想排除用这种有限帐户转储用户表的可能性。视图方法仍允许转储所有用户名和散列密码。 – forker 2010-09-21 15:46:21
然后你可以写一个函数。您的函数将接收用户/密码,并且如果用户/传递组合匹配,则返回true/false ... – 2010-09-21 16:18:03