1
我想允许SELECT查询到我的数据库,但不想允许更新(或丢弃!)。这足以净化用户提供的SQL查询吗?
是否足以确保查询开始与SELECT和不包含分号?
我使用JDBC来执行查询,目前针对MySQL的,但希望不要将其限制了这一点。
编辑: 我很欣赏使用无法更新的用户的谨慎,但想知道这是否有必要,而不是仅仅迷信。
A
回答
3
一种更好的方式去了解这是创建一个新帐户,并允许该帐户的某些命令。
+0
这没有帮助。如果你让我运行一个我选择的SELECT查询,那么我只能使用'USAGE'特权来使服务器崩溃。 – 2012-01-07 00:26:07
1
你不能执行用户提交的代码。允许用户提交代码是一种很好的方式,至少可以让自己面对拒绝服务攻击。例如,攻击者可以轻松地提交带有保证关闭服务器的巨大笛卡尔产品的查询。
您可以放心地允许用户指定值,而不是代码。然后通过使用带有参数的预准备语句将它们输入的值组合到SQL查询中。
允许用户提交的SQL查询是危险的,因为shellexec($_GET["cmd"]);
+0
谢谢比尔,但问题是试图弄清楚这是如何危险的。 DOS是我可以生活的东西,我害怕数据删除或妥协。 – TimP 2012-01-07 09:55:16
相关问题
- 1. SQL查询,以提取用户访问
- 2. 对file_get_contents的用户提供的URL进行净化
- 3. 用const_get对用户提供的内容进行净化/健全检查
- 4. 我可以优化这种查询吗?
- 5. 你可以简化这个查询吗?
- 6. 可以优化此SQL查询吗?
- 7. 这个SQL查询可以被简化吗?
- 8. 我们可以优化这个sql查询吗?
- 9. 这个SQL查询可以被简化吗?
- 10. 如何基于用户提供的输入形成sql查询
- 11. 参数化的查询需要参数######这是不是提供
- 12. 这个PHP函数会提供足够的数据散列吗?
- 13. 提供错误结果的SQL查询
- 14. 的Sql客户提供所有的产品查询
- 15. 净SQL成员资格提供自定义提供财产
- 16. 这个查询提供了多行
- 17. 提供我自己的查询语句 - 可以完成吗?
- 18. SQLException未提供参数化查询###
- 19. 参数化查询......但未提供
- 20. str_replace的这种用法足以防止SQL注入攻击吗?
- 21. SQL Server查询提供ASP错误
- 22. SQL查询给我提供总数
- 23. Rails:这个SQL查询可以重写为使用ActiveRecord吗?
- 24. 有人可以帮我用这个SQL查询吗?
- 25. 请求优化SQL查询的提示
- 26. 净化搜索字符串的动态SQL查询
- 27. SQL查询:这可以在没有嵌套查询的情况下完成吗?
- 28. 你能为我优化这个SQL查询吗?
- 29. 你能解释这个SQL查询吗?
- 30. 如何提高这个sql查询
大概不会。你应该通过只提供'SELECT'权限来管理这个。请说出RDBMS。 – 2012-01-06 23:27:30
这是一个等待发生的安全灾难 - 如果你真的必须允许SQL查询,然后通过一个特殊用户执行它们,而这个特殊用户可能需要最少的特权! – Yahia 2012-01-06 23:29:36