gpt4 book ai didi

mysql - 让不同的用户进行不同类型的查询是一种好习惯吗?

转载 作者:可可西里 更新时间:2023-11-01 07:55:24 28 4
gpt4 key购买 nike

我正在为我正在工作的项目使用 MySQL 和 PHP。我创建了单独的用户来执行不同的功能(一个用于运行选择查询,一个用于运行更新查询等)以提供额外的安全层。这样,我认为如果有人确实设法执行注入(inject)攻击(这不太可能,因为我使用的是准备好的语句),无论他们能够做什么,都将仅限于最初打算运行的查询类型。这是一个好习惯还是不值得麻烦?

最佳答案

除了扩展逻辑之外,您还将在该区域拥有不同的连接和基本开销。

恕我直言,明智的做法是不要使用 root 用户在 Web 应用程序中执行所有查询,如果数据很热,则确保指定用户没有 DROP、DELETE 等权限。如果您的应用程序有必要,您可以实现软删除。

最后但同样重要的是,确保清理所有 GPC 并确保在查询中正确引用/转义文件。使用准备好的语句可能是一回事,但最终它可以像使用 mysql_real_escape_string() 一样简单或者您的 DBAL/ORM 提供的任何引用方法。

关于mysql - 让不同的用户进行不同类型的查询是一种好习惯吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/147992/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com