Mysql privilegi utente per la query di aggiornamento

0

In Mysql DBMS è possibile assegnare i privilegi di USAGE a un utente che può fare una richiesta di aggiornamento? Al fine di prevenire l'SQL-injection.

    
posta Bob 10.08.2017 - 23:33
fonte

1 risposta

1

Nell'uso mysql significa che l'unica possibilità è di autenticare l'utente. In genere, un account di database nativo non verrebbe utilizzato per l'autenticazione degli utenti.

Se l'utente ha privilegi di aggiornamento (e l'applicazione è vulnerabile) può sovvertire l'applicazione.

Se stai chiedendo come effettuare il provisioning dell'accesso in sola scrittura per un utente, allora questo può essere fatto scrivendo direttamente alle tabelle di concessione sebbene questo sia disapprovato. Un approccio più sensato e portabile è quello di concedere solo il privilegio di exec e utilizzare stored procedure con un definitore esplicito che ha accesso ai dati sottostanti.

    
risposta data 11.08.2017 - 00:53
fonte

Leggi altre domande sui tag