1
我有一個程序,允許用戶執行SQL腳本。我有一個用戶登錄到程序,但有一個要求是爲了防止任何執行,即使它是一個管理員用戶。是否有SQL執行關鍵字的列表,例如。 INSERT,ALTER
我的意思是用戶不能修改表等。通常我會建議所有用戶連接設置爲只讀,但程序中有一個元素需要能夠執行INSERT。
我想檢測用戶可能執行的關鍵字eg/INSERT,UPDATE,ALTER,並希望在某處定義了一個列表。
A
回答
2
我認爲你最好用白名單列出你想允許用戶做的事情,而不是試圖將你不希望他們做的所有事情列入黑名單。
他們只被允許運行一個SELECT?
+1
這個怎麼樣:'SELECT * INTO T1 FROM T;' – onedaywhen 2012-02-14 11:33:12
4
從您的問題中不清楚爲什麼您不只是使用權限:根據需要爲用戶提供SELECT和/或INSERT權限。您也可以將關鍵操作包裝在存儲過程中,並僅在程序中授予EXECUTE,以便更好地滿足您的需求。
解析實際的SQL很困難,因爲你不能只搜索某些單詞,你還必須建立它們的上下文。使用「刪除」爲例:
-- I guess you don't want this
delete from dbo.SomeTable
-- but maybe you do want this?
select * from dbo.SomeTable where Status = 'deleted'
和惡意(或只是好奇),用戶肯定會得到樂趣測試您的解析代碼的限制,看看他們可以用EXEC,sp_executesql的,OPENQUERY等做
權限(可能與存儲過程一起使用)在這裏是真正的解決方案,因爲您建議的替代方法將是一種編寫和維護的難題,並且幾乎肯定會有漏洞。
+1
這應該是被接受的答案。比讓用戶在運行中編寫SQL代碼更安全,更安全。 – 2015-06-17 21:23:01
相關問題
- 1. 如何對具有循環關係的表執行INSERT(SQL SERVER)
- 2. SQL主鍵列ALTER語句
- 3. 如果表是空的,執行INSERT?
- 4. 在Alter表中添加[Constraint]語法是否需要「約束」關鍵字?
- 5. 是否有可能在Python中獲取關鍵字列表?
- 6. 對許多表執行alter
- 7. 是否有任何方法來ALTER列以關閉'NOT NULL'?
- 8. SQL列名是關鍵字「類別」
- 9. SQL Server 2000 - ALTER TABLE + INSERT INTO =錯誤?
- 10. 檢查是否關鍵字列表是在一條線上
- 11. SQL Server中多個表的所有列的關鍵字搜索
- 12. sql服務器觸發器是否具有執行順序?
- 13. Robot Framework - 運行關鍵字後執行多個關鍵字if
- 14. C++中是否有「屬性」關鍵字?
- 15. JavaScript中是否有空關鍵字?
- 16. 如何查看一個字符串是否包含關鍵字列表中的關鍵字?
- 17. 如何從包含特定列的字符串中執行SQL Server中的INSERT
- 18. 是否授予ALTER暗示授予執行一個SQL Server存儲過程
- 19. SQL查詢查找具有最匹配關鍵字的行
- 20. 從列表中識別文檔中是否存在關鍵字
- 21. 是否有工具用於跟蹤在Oracle上執行的SQL
- 22. ALTER COLUMN的執行時間
- 23. 如何使用相關表中的列執行SQL查詢?
- 24. 我是否需要使用關鍵字關閉SQL Server連接?
- 25. Java中是否有任何關鍵字與C#中的'AS'關鍵字相似?
- 26. 是否有可能將「關鍵字」也視爲「非關鍵字」的語法?
- 27. 是單行INSERT原子嗎?例如。在1M列的桌子上?
- 28. SQL - 如何在執行INSERT INTO時改變表格?
- 29. 是否有vim map中所有關鍵表示的表格?
- 30. Peewee:選擇行是否含有某個關鍵字
對於SQL注入? – 2012-02-14 11:01:54
Oracle應該如何知道用戶想要執行哪些語句? – 2012-02-14 11:02:34
它不應該阻止用戶編寫DROP TABLE或INSERT或ALTER或EXEC – Jon 2012-02-14 11:05:14