檢查只讀查詢字符串

Question

我正在創建一個postgreSQL數據庫閱讀器，其中還包括一個用戶鍵入自己的查詢的方法。我想通過檢查類型查詢是否包含任何修改代碼來保護數據庫。這是我的檢查：

private bool chech_unwanted_text(string query) 
    { 
     if (query.Contains("DELETE") || query.Contains("delete") || query.Contains("CREATE") || 
      query.Contains("create") || query.Contains("COPY") || query.Contains("copy") || 
      query.Contains("INSERT") || query.Contains("insert") || query.Contains("DROP") || 
      query.Contains("drop") || query.Contains("UPDATE") || query.Contains("update") || 
      query.Contains("ALTER") || query.Contains("alter")) 
     { 
      return false; 
     } 
     else return true; 
    } 

這是檢查是否有編輯安全查詢正確的方法或者是有其他的，更可靠的方式來實現這一目標？

我知道授予用戶權限，但這是行不通的，因爲我沒有超級用戶帳戶。

Answer 1

您應該通過使用只讀訪問數據庫的帳戶來處理此問題，而不是通過檢查查詢。大多數DBMS都有一個特權機制來處理這種事情，PostgreSQL當然可以。

Answer 2

看這一個短一點comparsion： Case insensitive 'Contains(string)'

基本上使之比較不區分大小寫（否則你將需要大量的代碼來檢查不同版本的刪除（刪除等）

此外，您可以建立與禁止的關鍵字和環通，也許一點點清潔的列表嗎？如果用戶需要查詢使用這些關鍵字的東西

會發生什麼？

SELECT IsDeleted FROM Users; 

也許你可以看看允許參數，或者根據查詢的複雜性（基於數據庫中的內容的一堆下拉列表）來查看允許參數或者可能構建自己的「查詢構建器」。

只是一些建議。

但是，您應該以任何可能的方式遵循關於只讀用戶的建議。

Answer 3

授予用戶輸入自己的查詢絕不是一個好主意。唯一可行的方法是授予他們只讀權限（您說你無法做到這一點）。

關於您的代碼段，一個更好的方法來檢查，如果您的查詢包含一個動詞使用LINQ：

private readonly string[] verbs = new string[] 
    { "delete", "create", "insert", ... }; 

private bool check_unwanted_text(string query) 
{ 
    // convert to lowercase 
    query = query.ToLowerInvariant(); 

    // can any verb be found in query? 
    return verbs.Any(v => query.Contains(v)); 
} 

不過沒有關係，我不會考慮使用此爲SQL消毒。

Answer 4

沒有可靠的一般方法來檢查給定的查詢是否正在改變數據庫內容，僅基於查詢文本。

考慮這個查詢：

SELECT * FROM myview; 

凡myview定義如下：

CREATE VIEW myview AS select foo, bar FROM myfunc(); 

Answer 5

如果你不能使該帳戶爲只讀，您仍然可以進行特定的事務讀 - 只有在事務開始後立即發出一條SET TRANSACTION READ ONLY SQL命令。 那麼任何試圖在本次交易修改數據會失敗的

ERROR: transaction is read only