Autor | Zpráva | ||
---|---|---|---|
Shadowek Profil |
Zdravím, dělám si do svého RS SQL konzoli. Funguje mi už v pořádku ale potřeboval bych nějak zjistit názvy sloupců ze kterých se získavají ta data.Tedy například uživatel zadá:
SELECT id,name,login,password,... FROM tabulka Potřeboval bych nějak zjistit jména sloupců co zadal ale nenapadá mě jak případně jaký SQL příkaz (tedy konkrétně MySQL) použít. Moderátor Joker: Přesunuto z PHP do Databáze na webu
|
||
Joker Profil |
#2 · Zasláno: 16. 12. 2009, 21:16:30
Údaje o tabulkách by měly být v tabulce INFORMATION_SCHEMA.TABLES
Mimochodem, není SQL konzole na redakční systém příliš mocný nástroj? I správce obvykle potřebuje z prostředí RS pouštět jen nějakou množinu SQL dotazů (kterou mu poskytne ten RS). A v případě nějakého narušení bezpečnosti je SQL konzole docela smrtící nástroj. |
||
Shadowek Profil |
#3 · Zasláno: 16. 12. 2009, 21:23:38
Však já ji omezím že ji muže ovládat jen hlavní admin, a omezím ji jen na SELECT příkazy a takové ... nepovolím insertování, mazání ,...
|
||
RockFire Profil |
#4 · Zasláno: 16. 12. 2009, 21:47:13
Pak bude ovšem prakticky nepoužitelná. Samotný select je k ničemu.
|
||
Shadowek Profil |
#5 · Zasláno: 17. 12. 2009, 16:30:27
Tak kdyby si chtěli vytáhnout některé data které ten RS nevypisuje...
|
||
Joker Profil |
#6 · Zasláno: 17. 12. 2009, 19:58:18
Shadowek:
„Tak kdyby si chtěli vytáhnout některé data které ten RS nevypisuje...“ Tohle je asi funkce, kterou bych dodělával až na základě toho, že to v praxi bude potřeba. Mám pocit, že takhle v RS bude SQL konzole, u které strávíte čas na odladění a nastavení práv, ale bude představovat maximálně bezpečnostní riziko, protože admin stejně všechny reálně potřebné údaje zjistí jinde v RS pohodlněji, než kdyby musel vymýšlet SQL dotaz. Příkladem budiž dotaz uvedený jako příklad: „SELECT id,name,login,password,... FROM tabulka“ 1. předpokládal bych, že v RS bude něco jako seznam uživatelů, ze kterého si admin pohodlně zjistí ID, jméno a login 2. SELECT password je bezpečnostní riziko. Hash uživatelova hesla (doufám, že do password neplánujete uložit heslo přímo!) se hodí snad jen RS pro ověření přihlášení a pak útočníkovi, který by chtěl získat uživatelovo heslo. Nenapadá mě důvod, proč by ta informace měla být přístupná uživateli, byť administrátorovi, RS. |
||
Časová prodleva: 14 let
|
0