Autor | Zpráva | ||
---|---|---|---|
benett Profil |
#1 · Zasláno: 24. 10. 2011, 19:33:35
U neveřejné části webu chci umožnit uživatelům, aby si mohli nechat zobrazovat data dle nejrůznějších parametrů, a tak jim chci dát možnost zadat vlastní SQL dotaz. Jak bych takový dotaz měl ošetřit? Napadá mě, že by mohlo stačit ohlídat, jestli ten vstupní řetězec neobsahuje příkazy jako DROP, TRUNCATE, UPDATE, DELETE, ALTER TABLE, CREATE VIEW, GRANT, REVOKE...
|
||
had Profil * |
#2 · Zasláno: 24. 10. 2011, 19:53:40
je to jedna z možností.
ale doporučoval bych využít nějakou databázovou vrstvu, osobně mám dobré zkušenosti s dibi (http://dibiphp.com/), zlehčuje to i syntaxi sql a má další dobré vychytávky... :-) |
||
DJ Miky Profil |
#3 · Zasláno: 24. 10. 2011, 21:07:35
benett:
„Napadá mě, že by mohlo stačit ohlídat, jestli ten vstupní řetězec neobsahuje příkazy jako DROP, TRUNCATE, UPDATE, DELETE, ALTER TABLE, CREATE VIEW, GRANT, REVOKE...“ Spolehlivější řešení je vytvořit speciálního uživatele pro přístup do MySQL a dát mu práva jen na SELECT do potřebných tabulek, pokud máš tu možnost (sdílený webhosting to ne vždy umožňuje). |
||
Časová prodleva: 4 dny
|
|||
benett Profil |
#4 · Zasláno: 29. 10. 2011, 01:34:41
Zapomněl jsem odpovědět.
DJ Miky: „Spolehlivější řešení je vytvořit speciálního uživatele pro přístup do MySQL a dát mu práva jen na SELECT do potřebných tabulek, pokud máš tu možnost (sdílený webhosting to ne vždy umožňuje).“ Ano, toto je nejlepší řešení. Děkuju. |
||
Časová prodleva: 12 let
|
0