0
我制作了一个页面,用户可以在textarea中插入一个查询,当他们点击提交按钮时,它会生成一个填充了该查询数据的表格。不允许用户从查询中编辑数据库
现在我想确保用户不能使用其他类型的查询,例如:INSERT,DROP,ALTER,UPDATE,RENAME和其他所有可以编辑数据库中表的数据。
我找不到任何好的例子。 (或没有正确搜索)
这样做的最佳方法是什么?
A
回答
0
如果使用MySQL并限制DML的dbuser,则可以使用GRANT。我不知道确切的语法。或者您也可以通过regex或stripos
2
为此创建一个新用户来验证查询。该用户应该只有SELECT访问数据库。
GRANT SELECT ON database_name.* TO 'someuser'@'somehost';
利用这种方法,你不必用正则表达式的混乱(除非你想客户端验证),这样即使您的验证失败,数据库本身会妥善处理的权限。
您的表单需要使用someuser来连接并运行查询,而不是应用程序其余部分使用的用户。
相关问题
- 1. 允许用户编辑CSS
- 2. 从用户隐藏数据库,同时允许用户查询它
- 3. 允许用户编辑和存储HTML
- 4. 只允许某些用户编辑ASPxGridView
- 5. EditText不允许编辑
- 6. TextField不允许编辑
- 7. 形式不允许编辑
- 8. 我如何允许多个用户访问/编辑Microsoft Access数据库?
- 9. 只允许用户从数据库中获得某些信息
- 10. 需要允许用户从sqllite数据库中选择颜色
- 11. rails cancan允许用户编辑* only *他们的数据,但查看每个人
- 12. 允许用户使用excel查询OLTP SQL Server数据库是否正常?
- 13. 不允许编辑ASP.NET动态数据中的表
- 14. MVC5:允许用户只查看和编辑自己的信息
- 15. 允许用户无需编辑帐户:url中
- 16. SQL Server数据库 - 允许应用程序编辑视图中的记录吗?
- 17. 查询允许的列数
- 18. Codeigniter - 只允许用户从数据库中删除,如果用户在数据库中创建了条目
- 19. QTableView - 不允许用户编辑单元格
- 20. Winforms Combobox - 不允许用户编辑项目
- 21. 管理员用户允许删除和编辑其他用户
- 22. 允许用户在C#asp.net应用程序中编辑文本
- 23. 允许在表1中用户编辑表2中的PHP/MySQL
- 24. 始终允许本机数据库查询
- 25. 允许用户使用设备编辑他们自己的数据
- 26. WCF测试客户端允许我查看/编辑请求XML
- 27. 用户更新数据库编辑
- 28. 不允许重复记录,并检查数据库可用
- 29. 允许用户编辑帐户,而无需身份在网址
- 30. 您不允许编辑'...'包信息
你有没有考虑搜索单词“insert”/“drop”/“alter”等,如果找到了,那么只是给出一个错误信息? – 2014-09-11 11:46:31
您可以为新的MySQL用户设置所需的权限并使用该用户连接到数据库。无法绕过,因此它非常安全。 – 2014-09-11 11:47:21
你可以创建一个带有选项的表单,当表单被提交时,它会创建查询并执行它。别再担心了。 – machineaddict 2014-09-11 11:52:39