如果我允许一组用户提交"explain $whatever"到mysql(通过Perl的DBI使用DBD::mysql),用户可以将任何内容放入任何数据库更改,泄漏非平凡信息,甚至导致大量数据库负载吗?如果是这样,怎么样?
我知道,通过"explain $whatever"一个可以找出表/存在的列(你要猜的名字,虽然)和大约多少条记录在一个表或多少记录有一个索引字段中的特定值.我不希望人们能够获得有关未索引字段内容的任何信息.
DBD::mysql不应该允许多个语句,所以我不希望它可以运行任何查询(只解释一个查询).只是解释,即使子查询也不应该被执行.
但我不是一个mysql专家,肯定有mysql的功能,我甚至都不知道.
在尝试提出查询计划时,优化器可能会实际执行一个表达式,以便提出索引字段将要与之进行比较的值吗?
explain select * from atable where class = somefunction(...)
哪里atable.class是索引而不是唯一的,并且没有class='unused'找到记录但class='common'会找到一百万条记录.可能'解释'评估somefunction(...)?然后可以somefunction(...)编写这样修改数据?