字符串检查恶意SQL
我正在编写一个简单的实用程序,它允许我们的用户在数据库上运行简单的选择SQL语句来检索他们需要的数据。只需一个文本框和一个按钮,当他们点击按钮时,它会将查询结果吐出一个列表。
我遇到的问题是我只希望它们能够运行SELECT语句。我不希望执行任何编辑语句,即更新,插入,删除,删除等。
是否有一种简单的方法来解析sql字符串以确保它只输入一个只读的select语句?
2 个答案:
答案 0 :(得分:0)
更好的方法是使用sql权限。作为datareader,您的用户只能选择SELECT。 exec sp_addrolemember db_datareader, <user>
答案 1 :(得分:0)
处理此问题的最佳方法是创建仅具有有限权限的用户。
如果您想允许用户从所有表中读取数据,那么您可以使用Steve D已经建议的内容。
如果您想允许用户只读取某些表中的数据而不是所有表,那么您需要创建一个只具有“公共”角色的用户,然后为特定表创建GRANT SELECT。
确保用户仅在此处为给定数据库选择“公共”
然后只对所有表执行此查询
grant select on <schema>.<table> to <user>
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?