0
我製作了一個頁面,用戶可以在textarea中插入一個查詢,當他們點擊提交按鈕時,它會生成一個填充了該查詢數據的表格。不允許用戶從查詢中編輯數據庫
現在我想確保用戶不能使用其他類型的查詢,例如:INSERT,DROP,ALTER,UPDATE,RENAME和其他所有可以編輯數據庫中表的數據。
我找不到任何好的例子。 (或沒有正確搜索)
這樣做的最佳方法是什麼?
A
回答
0
如果使用MySQL並限制DML的dbuser,則可以使用GRANT。我不知道確切的語法。或者您也可以通過regex或stripos
2
爲此創建一個新用戶來驗證查詢。該用戶應該只有SELECT訪問數據庫。
GRANT SELECT ON database_name.* TO 'someuser'@'somehost';
利用這種方法,你不必用正則表達式的混亂(除非你想客戶端驗證),這樣即使您的驗證失敗,數據庫本身會妥善處理的權限。
您的表單需要使用someuser來連接並運行查詢,而不是應用程序其餘部分使用的用戶。
相關問題
- 1. 允許用戶編輯CSS
- 2. 不允許用戶編輯Codeigniter代碼
- 3. 從用戶隱藏數據庫,同時允許用戶查詢它
- 4. 允許用戶在mysql中編輯
- 5. TDBAdvGrid不允許使用JOIN進行就地編輯查詢
- 6. MVC4允許用戶編輯列表項
- 7. 只允許某些用戶編輯ASPxGridView
- 8. 允許用戶編輯和存儲HTML
- 9. TextField不允許編輯
- 10. TWTweetComposeViewController不允許編輯
- 11. EditText不允許編輯
- 12. 形式不允許編輯
- 13. 我如何允許多個用戶訪問/編輯Microsoft Access數據庫?
- 14. 只允許用戶從數據庫中獲得某些信息
- 15. 需要允許用戶從sqllite數據庫中選擇顏色
- 16. rails cancan允許用戶編輯* only *他們的數據,但查看每個人
- 17. 允許用戶使用excel查詢OLTP SQL Server數據庫是否正常?
- 18. 不允許編輯ASP.NET動態數據中的表
- 19. MVC5:允許用戶只查看和編輯自己的信息
- 20. 只允許編輯gridviewcell中的數字
- 21. 允許用戶無需編輯帳戶:url中
- 22. 數據層允許查詢建築
- 23. 不接受數據庫查詢中的文本值,但只允許數字
- 24. 子查詢不允許
- 25. 查詢不允許國家
- 26. SQL Server數據庫 - 允許應用程序編輯視圖中的記錄嗎?
- 27. 查詢允許的列數
- 28. Codeigniter - 只允許用戶從數據庫中刪除,如果用戶在數據庫中創建了條目
- 29. Tweet Button;不允許用戶編輯內容
- 30. Winforms Combobox - 不允許用戶編輯項目
你有沒有考慮搜索單詞「insert」/「drop」/「alter」等,如果找到了,那麼只是給出一個錯誤信息? – 2014-09-11 11:46:31
您可以爲新的MySQL用戶設置所需的權限並使用該用戶連接到數據庫。無法繞過,因此它非常安全。 – 2014-09-11 11:47:21
你可以創建一個帶有選項的表單,當表單被提交時,它會創建查詢並執行它。別再擔心了。 – machineaddict 2014-09-11 11:52:39