Wan*_*uta 2 python sql security django sql-injection
我打算用强大的过滤器构建一个Django日志查看应用程序.我想让用户使用一些自定义(可能是特定于DB)的SELECT查询来精细过滤结果.
但是,我不喜欢给用户写入数据库的访问权限.有没有办法确保查询不会更改数据库中的任何内容?就像一个'干跑'旗帜?或者有没有办法过滤SELECT查询,以便它们不会以任何方式造成伤害?
我想将查询作为一个单独的MySQL用户运行,但我宁愿避免麻烦.我还考虑过使用Google App Engine的GQL'语言',但如果有更清洁的解决方案,我当然希望听到它:)
谢谢.
| 归档时间: |
|
| 查看次数: |
480 次 |
| 最近记录: |