1
我需要允许用户在我的Web应用程序中输入SQL select语句;这些select语句将用于在自定义下拉列表中生成选项。允许用户在Web应用程序中输入SQL select语句禁用更新
所以我有一个UI用户输入select的字段;如何禁止用户输入插入/更新/删除?我可以检查第一个语句单词是select,但是他们可以在UI上输入多个用分号分隔的语句。
A
回答
6
我会做到以下几点:
在数据库中创建它只在你希望用户是可以访问的表授予SELECT权限的用户。
在您的服务器中,使用来自上面的只读用户的单独数据源来处理客户端发出的查询。
+1
这是解决此问题的唯一解决方案 – Jcl 2015-02-06 13:37:49
0
以这样的方式构建您的用户界面,使用户输入类似field1, field2 from table2 where this = that的东西。在您的编程代码之前添加单词select。
+0
我无法做到这一点,因为我使用codemirror来自动完成表/列 – ps0604 2015-02-06 13:23:57
2
相信我,具有恶意意图的用户会想办法绕过检查并注入SQL。 (特别是如果你使用的是MS-SQL Server。)
所以,不要这样做。
编写一个合适的用户界面,无论它需要多么复杂,并且确保绝对没有用户输入的字符串在SQL查询中最终没有引号和未转义。
0
您可以使用Connection.setReadonly(true)方法启用只读事务。但是,只有在用户输入信任且我们需要防止意外更改数据的情况下,我才会使用它。
相关问题
- 1. 允许用户键入SQL查询的Web应用程序
- 2. 为什么Web应用程序不允许更改用户名
- 3. 如果允许用户输入PHP,应禁用哪些功能?
- 4. 允许在MVC Web应用程序
- 5. 使用Select语句的SQL更新
- 6. 允许用户在Android应用程序中插入图像
- 7. 开关语句不允许第一个用户输入
- 8. (SQL)输入select语句
- 9. 允许用户展开应用程序
- 10. 在SQL Server中更新Select Case语句:
- 11. 允许非管理Windows帐户自动更新应用程序
- 12. 将SQL select语句与用户输入值进行比较
- 13. 尝试在插入语句中同时包含select语句和用户输入
- 14. 的Web应用程序,允许用户上传视频
- 15. 为什么Cassandra不允许在更新语句中使用udf?
- 16. iTunes允许应用更新
- 17. php select语句使用用户输入不起作用
- 18. 允许用户在选择输入中更改输入选择输入
- 19. SQLITE:如何在UPDATE语句中使用SELECT语句更新表?
- 20. 允许用户更改应用程序的键盘按键
- 21. 允许用户更改我的应用程序的颜色
- 22. 您将如何允许用户在Web应用程序中编辑附件?
- 23. 阻止XSS并允许在asp.net mvc应用程序输入字段中输入&#
- 24. 用准备好的语句和用户输入更新数据
- 25. 如何保护允许用户插入JavaScript的应用程序?
- 26. 允许用户只输入文本?
- 27. 在Web应用程序中更新mysql
- 28. 在更新语句中排序不允许
- 29. SQL - 允许用户使用
- 30. 允许用户在Cocoa应用程序中提交图像
您使用的是什么Web应用程序框架?什么编程语言?一般来说,你总是可以用';'分隔字符串,并检查每个元素是否包含关键字'update'。 – 2015-02-06 13:19:11
谢谢,它是一个Java + AngulaJS Web应用程序。这些语句可能包含带分号的字符串。 – ps0604 2015-02-06 13:21:41
你在使用什么数据库? – beny23 2015-02-06 13:26:47