- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
我目前正在编写一个主要供开发人员使用的网络应用程序,并且我认为(根据个人经验)有时以不受限制的方式运行自定义搜索会很方便。我想让我的用户对他们的个人数据运行任意多语句 SQL 搜索(额外收费),以便他们当时可以检索与他们的问题相关的数据。
显然,这是需要极其谨慎地完成的事情,所以我想确保我将以正确的方式解决这个问题。
在我看来,主要关注点是:
要安全地向用户提供这种功能,最安全的方法是什么?
最佳答案
这是危险的领域(我强烈建议您仔细权衡这一要求,因为您将面临明显的危险),但是我会尽力为您提供最安全的方法如果必须的话。
我在这里做的唯一假设是您运行的是当前版本的 PostgreSQL,并且您需要用户远程连接到服务器(使用他们自己的工具)以执行他们的自定义查询。即使他们将它们输入到网页中,只要他们每个人都有一个单独的用户登录数据库服务器,大多数相同的技术仍然适用。
首先,(正如 NoBugs 指出的那样)为了防止用户执行明显的恶意语句(如 UPDATES、DELETES、DROPS 等),您需要确保连接到服务器的用户帐户对数据库只有 SELECT 权限和他们应该能够阅读的表格。查看手册以了解如何为用户定义角色,并为这些角色授予特定权限。
http://www.postgresql.org/docs/9.0/static/user-manag.html http://www.postgresql.org/docs/9.0/static/database-roles.html
Note that you can only limit a user down to a particular table. If users each need to be given access to different parts of a table, then PostgreSQL (and nearly all DBMS's) will not support this out of the box. Your only option would be to try and create some kind of SQL/TCP proxy that intercepts requests, and modifies them somehow to limit query results, before passing on to the database server. This would be extremely difficult even for a very experienced developer!
为了防止(或至少检测)DOS 攻击,您将需要一个外部脚本或进程来每隔几秒关注一次数据库(和/或整个服务器)的资源使用情况,并且可能构建一个如果 PostgreSQL 服务达到极限,则重新启动 PostgreSQL 服务的机制。
You will need to experiment with how long before you should intervene carefully, as it is quite possible for a legitimate query to max things for a few seconds.
正如您提到的,您需要仔细记录谁在尝试执行什么,以及何时执行,如果有必要,您可以从失败中回溯,找出罪魁祸首。为此,您实际上只能依赖系统日志,可以将其配置为写入文件、CSV 或 Syslog。
I would suggest you pre-create some tools to help you quickly search these logs to find what you need before you need to try and find it (pun intended).
最后,您还应该尝试遵循其他标准的管理和安全最佳实践(所有这些都可以在手册中找到),包括:
关于c# - 我怎样才能安全地让用户使用(Postgresql?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25255216/
我的 postgresql 有问题,我复制了所有文件,然后将其删除。然后,我安装了新的,问题就解决了。现在可以将旧文件和文件导入新文件吗? 最佳答案 如果它们是相同的主要版本(即 9.0 到 9.0.
我想使用 Postgresql 9.2.2 来存储我的应用程序的数据。我不得不构建一个应该基于数据库级别的触发器(当数据库启动时,这个触发器将被触发并执行。),当 postgresql 服务器启动时是
我已经使用下面的查询从 Postgresql 目录表中获取 Sequence 对象的完整信息 select s.sequence_name, s.start_value, s.minimum_valu
Postgres 版本:9.3.4 我需要执行驻留在远程数据库中的函数。该函数根据给定的参数返回一个统计数据表。 我实际上只是在我的本地数据库中镜像该函数,以使用我的数据库角色和授权来锁定对该函数的访
我在 CentOS 7 上,我正在尝试解决“PG::ConnectionBad: FATAL: Peer authentication failed for user”错误。 所以我已经想出我应该更改
我写了一个触发器函数,在触发器表列名上循环,我从具有不同列的不同表调用该函数。该函数将列名插入到数组中并在它们上循环,以便将值插入到另一个模式和表中。 函数和触发器创建脚本: DROP TRIGGER
PostgreSQL 的默认空闲连接超时是多少,我运行了 show idle_in_transaction_session_timeout 查询并返回了 0,但是值 0 表示此选项被禁用,但我想知道默
我需要将十六进制值存储到数据库表中,谁能推荐我需要用于属性的数据类型? 提前致谢 最佳答案 您可以使用bytea 来存储十六进制格式。更多信息 can be found in the postgres
我有一个具有复合主键的(大)表,由 5 列(a、b、c、d、e)组成。 我想高效地选择具有其中两列 (a + e) 的所有行到给定值。 在 PostgreSQL 中,我需要索引吗?或者数据库会使用主键
在阅读 PostreSQL (13) 文档时,我遇到了 this页面,其中列出了不同日期时间类型的存储大小。 除其他外,它指出: Name Storag
我有两个大整数的巨大表(500 000 000 行)。两列都被单独索引。我正在使用语法批量插入此表: INSERT into table (col1, col2) VALUES(x0, y0), (x
有一台 CentOS7 Linux 机器正在运行(不是由我管理;拥有有限的权限)。 请求在其中设置 PostgreSQL。 刚刚从 CentOS 存储库安装了 PostgreSQL: sudo yum
我在 Ubuntu 18.04 上安装了 Postgresql 10,但不知何故坏了,不会重新启动。我可以重新安装它而不破坏它的数据库,以便我可以再次访问数据库吗? pg_dump 不起作用。 最佳答
我想在 UNIX 中使用 crontab 自动备份 PostgreSQL 数据库。我已经尝试过,但它会创建 0 字节备份。 我的 crontab 条目是: 24 * * * * /home/desk
我已经完成了PG服务器的安装。我希望能够使用 pgAdmin 远程连接到它,但不断收到服务器不听错误。 could not connect to server: Connection refused
Oracle 支持波斯历但需要知道 PostgreSQL 是否支持波斯历? 如果是,那么我们如何在 PostgreSQL 中将默认日历类型设置为 Persian 而不是 Gregorian(在 Ora
假设我们有一个带有表的 SQL 数据库 Person以及访问它的几个应用程序。出于某种原因,我们想修改 Person表以向后不兼容的方式。 保持兼容性的一种潜在解决方案是将表重命名为 User并创建一
我使用 PostgreSQL 中的模式来组织我庞大的会计数据库。每年年底,我都会通过为下一年创建一个新模式来进行协调过程。 新模式的文件是否与旧模式物理分离?或者所有模式一起存储在硬盘上? 这对我来说
我正在尝试使用配置文件中的以下配置参数调整 PostgreSQL 服务器: autovacuum_freeze_max_age = 500000000 autovacuum_max_workers =
我的数据包含数据库列中的表情符号,即 message_text ------- 🙂 😀 Hi 😀 我只想查询包含表情符号的数据的行。在 postgres 中是否有一种简单的方法可以做到这一点?
我是一名优秀的程序员,十分优秀!