answers AND NOT(answered) O-6ren">
gpt4 book ai didi

sql - "Safely"允许用户使用SQL进行搜索

转载 作者:行者123 更新时间:2023-12-04 23:34:12 28 4
gpt4 key购买 nike

例如,我经常想用

SELECT whatever FROM questions WHERE
views * N + votes * M > answers AND NOT(answered) ORDER BY views;

或类似的东西。

是否有任何合理的方式允许用户使用 SQL 作为搜索/过滤语言?

我发现它有一些问题:
  • 访问/更改内容(仔细设置的用户帐户应该可以解决此问题)
  • SQL 注入(inject)(考虑到以前最糟糕的情况,他们应该能够做的就是找回垃圾并在 session 中崩溃)。
  • 带有病态查询的 DOS 攻击
  • 你给他们什么指标?

  • 编辑:我想允许加入,什么也不允许。

    最佳答案

    访问/更改内容
    没问题,只需使用残障用户运行查询,仅具有选择权限

    SQL 注入(inject)
    只需清理查询

    DOS攻击
    使查询超时并通过 IP 限制访问。我想您还可以限制某些服务器中的 CPU 使用率

    关于sql - "Safely"允许用户使用SQL进行搜索,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/795553/

    28 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com