那些遇到过的问题

"安全地"允许用户使用SQL进行搜索

BCS*_*BCS 4 sql security web-applications

例如,我经常想用stackoverflow搜索

SELECT whatever FROM questions WHERE
   views * N + votes * M > answers AND NOT(answered) ORDER BY views;
Run Code Online (Sandbox Code Playgroud)

或类似的东西.

有没有合理的方法允许用户使用SQL作为搜索/过滤语言?

我看到它有一些问题:

  • 访问/更改内容(精心设置的用户帐户应该修复)
  • SQL注入(鉴于之前他们应该能够做的最糟糕的事情就是回到垃圾并在那里崩溃).
  • DOS攻击病理查询
  • 你给他们什么索引?

编辑:我想允许加入,什么不是.

Edu*_*eni 5

访问/更改内容
没问题,只需使用残缺用户运行查询,只需选择权限即可

SQL注入
只需清理查询

DOS攻击
超时查询并限制IP访问.我想你也可以节省一些服务器的CPU使用率

归档时间:

查看次数:

270 次

最近记录:

16 年,9 月 前
相关归档
SQL Server的LIMIT和OFFSET的等价物? 161
如何在SQL Server中同时将数据插入两个表? 51
检测存储过程中的脏读 20
什么时候`x IS NOT NULL`与`NOT(x IS NULL)`不一样 11
两个指标的内在联接的大哦表现 11
如何让每个用户根据他们在JAAS中的权限/角色访问特定位置的资源? 6
任何网页图形或图表库都支持错误栏吗? 5
从 Google Web App 中的 doPost() 重定向,带有 App 脚本的 HTML 表单 4
如何配置安全性以允许仅通过 nodejs 中的身份验证访问 swagger url 4
为什么我会突然收到这个 404 错误? 2
难疑归档
如何强制"git pull"覆盖本地文件? 6654
如果__name__ =="__ main__":怎么办? 5545
迭代HashMap 3244
在函数中使用全局变量 2939
如何将命令行参数传递给Node.js程序? 2280
什么是移动语义? 1614
使用PHP"注意:未定义的变量","注意:未定义的索引"和"通知:未定义的偏移量" 1119
如何从"Bobby Tables"XKCD漫画中注入SQL? 1070
检查SQL Server中是否存在表 1068
获取插入行的标识的最佳方法是什么? 1056