gpt4 book ai didi

php - 不同的用户对MySQL有不同的权限。我从中受益吗?

转载 作者:行者123 更新时间:2023-11-30 23:50:31 24 4
gpt4 key购买 nike

谈论 SQL 注入(inject)。

现在,我为我的网站执行以下操作。

  1. 使用 mysql_real_escape_string() 清理查询中的(任何)参数。
  2. 整数数据进入 intval()。
  3. 向拥有所有 PREVILIGIES 的用户查询。

问题 1:它能单独防止 SQL 注入(inject)吗?

此外,我正在考虑进行以下操作。

我不想对所有 previligied 用户使用查询,而是想为每个任务创建一个用户,例如更新、删除、选择、删除等。

查询时,我可以选择使用哪个用户

$database->selectUser('SELECT')->runQuery('query');

问题 2:这对我的安全有帮助吗?值得这样做吗?

最佳答案

问题 1:一般来说,mysql_real_escape_string 会阻止针对您的基本 SQL 注入(inject),但也有异常(exception)。参见 this question .

您真的应该将所有代码切换到 Mysqli 或 PDO。

问题 2:这确实对您的安全没有帮助。假设您开始看到数据库中发生了奇怪的事情,并且您认为自己被黑客入侵了……但它是哪个用户?如果您认为密码已被破解,则必须检查并更改所有密码。

除此之外,您基本上必须为每个帐户定义一个新连接....

创建一个主帐户并为其提供一个非常好的密码。如果奇怪的事情开始发生,您只需更改一个密码。

关于php - 不同的用户对MySQL有不同的权限。我从中受益吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14299346/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com