-2
我有一個應用程序說查詢生成器,它需要從用戶的SQL查詢的輸入,從表中選擇一些數據避免SQL注入
我正在執行在SQL Server中此查詢現在
我要停止用戶使用其他的命令比DQL命令
是否有可能在SQL Server本身
做是否有在SQL Server中的任何命令,它可以告訴其是否DQLcommand與否,那麼以後我也可以限制
感謝
Q
避免SQL注入
A
回答
1
其SQL Server查詢
這將是非常難以鎖定;你可以使用SQL服務器的權限,但它仍然很容易做到這一點很糟糕的東西(例如,它不需要很多大表的交叉連接來有效地服務器脫機 - 或者他們可以打開一個可序列化的事務,從某些表中選擇,而不是關閉事務)。我會強烈建議不要讓用戶寫sql。給他們其他工具來做他們需要的東西。
另外,運行在不同的服務器上查詢 - 理想,你有推一個安全版本的數據(即沒有任何PII) - 在那裏,如果他們主宰服務器並不重要,因爲它是不連接到任何重要的東西有點像SEDE。
+0
是的,通常最好的做法是將db報告作爲生產db的鏡像(定期從生產中刷新),所以報告查詢不會減慢生產速度。有用於製作報告的應用程序。 - 例如Microsoft Report Builder或Korzh Easy Query。 –
相關問題
- 1. Spring(MVC)SQL注入避免?
- 2. 如何避免sql注入?
- 3. 如何使用sp_executesql避免SQL注入
- 4. 避免使用connection.execute進行sql注入
- 5. MongoDB如何避免SQL注入混亂?
- 6. PHP代碼,以避免SQL注入
- 7. 避免sql注入ActiveRecord命令
- 8. 在PHP中避免SQL注入
- 9. PHP - MySQL的避免SQL注入
- 10. Zend公司Db的避免SQL注入
- 11. 如何避免codeigniter中的sql注入
- 12. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 13. Guice:避免懶惰注入
- 14. 避免MySQL注入和XSS
- 15. 避免MySQL注入Zend_Db類
- 16. 在註冊表格中避免SQL注入php
- 17. exec sql避免sql注入的替代方法是SP_EXECUTESQL?
- 18. 使用非SQL數據庫是否避免防範「SQL注入」?
- 19. 避免SQL注入用戶生成SQL正則表達式
- 20. 「mysqli_real_escape_string」足以避免SQL注入或其他SQL攻擊嗎?
- 21. Rails:允許免費的文本SQL過濾器,並仍然避免SQL注入
- 22. 避免JavaScript注入,同時保持HTML?
- 23. 避免代碼注入與MongoDB的
- 24. 如何避免cookie的對象注入?
- 25. 避免在SQL
- 26. 使用命令參數避免SQL注入
- 27. 如何避免SQL注入Linq與EF在codefirst技術在c#
- 28. 使用ASP.net保存用戶代理時避免SQL注入
- 29. 避免類似查詢的SQL注入的Android SQLite的
- 30. 如何避免JavaScript文本字段中的SQL注入?
你將不得不更加具體嗎? SQL如何輸入? 你可以鎖定參數,還是隻是明文? 您可以讓他們與不同的數據庫用戶連接,並且權限有限 –
@M Akela:哪個查詢!?!? –
輸入是什麼?謹慎的條款?或SQL? –