-2
我有一個模塊,用戶可以使用MySQL語句創建報告。他們只需要使用SELECT語句。我用strpos("", $sSelect)檢查它。有沒有解決方案,我可以如何檢查所有其他危險語句的字符串(如DROP, Replace, DELETE, TRUNCATE, ALTER,... etc.)。只有SELECT是允許的。如何檢查MySQL SELECT字符串是否存在SELECT?
格爾茨
A
回答
0
你可以使用正則表達式。
if (!preg_match('#^SELECT .*#i', ltrim($your_string))) {
// not allowed...
}
如果字符串不與SELECT語句(不區分大小寫)開始做一些事情......
然而,這並不是最好的方法,你必須考慮到限制用戶權限! 此外,通過這種方法,「壞傢伙」可以通過這種方式執行另一個命令:SELECT ...; DROP TABLE ...;
2
您是否可以爲創建報告的人員更改MySQL用戶權限?如果是這樣,你可以限制訪問所有東西吧SELECT?您只需在創建報告時以該用戶類型進行連接,並連接到普通用戶帳戶以獲取其他信息。
+1
這絕對是一個必須加你也需要確保這個數據庫用戶只能訪問某個表! – markus
相關問題
- 1. MYSQL SELECT:檢查rowdata是否存在
- 2. JQuery檢查是否存在SELECT值
- 3. 如何檢查一個字符串是否在jQuery的`select`的選項中?
- 4. PHP&MySQL SELECT子字符串
- 5. PHP/MySQL是否存在SELECT ... INSERT和/或SELECT ... INSERT ... DELETE
- 6. SELECT查詢字符串包含'%'字符
- 7. 如何檢查查詢字符串是否已經存在
- 8. 檢查MySQL數據庫中是否存在字符串
- 9. 檢查字符串中是否存在多個字符串
- 10. 檢查字符串中是否存在字符串java
- 11. 如何檢查子字符串是否存在或不在主字符串中
- 12. SELECT查詢的性能檢查表中是否存在記錄
- 13. 如何檢查字符串是否在字符串列表中
- 14. 如何檢查是否字符串有
- 15. 使用SELECT EXISTS查找在mysql中是否存在行
- 16. 如何檢查字符串中是否存在特定的子字符串?
- 17. 如何檢查字符串數組中是否存在字符串。
- 18. 如何檢查字符串是否存在於另一個字符串中
- 19. iPhone:如何檢查字符串中是否存在子字符串?
- 20. 如何檢查列表中是否存在字符串
- 21. 如何檢查n拆分字符串是否存在(C#)
- 22. 如何檢查NAN是否存在於json字符串中
- 23. 如何檢查常量中是否存在字符串
- 24. 如何檢查特定ID是否存在於字符串中
- 25. 如何檢查數組中是否存在字符串?
- 26. MySQL的SELECT IN從字符串
- 27. 檢查是否d3.select或d3.selectAll
- 28. 檢查兩個「select」是否相等
- 29. zend select字符串語句
- 30. 字符串替換sql select
我認爲只搜索'select'的位置不是一個好主意...... – StaticVariable
@JordanRichards MySQL絕對不會被棄用。 PHP mysql_ * API已被棄用,但OP沒有提及使用它。 – markus
@ markus-tharkun哦,是的,對不起。我一直在犯這個錯誤。 –