授予在静态数据库上执行 SQL 查询的权限

Posted

技术标签:

【中文标题】授予在静态数据库上执行 SQL 查询的权限【英文标题】:Giving access to execute SQL queries on a static database 【发布时间】:2015-06-09 21:24:06 【问题描述】:

我正在从事一个项目,我希望让人们能够在 PostgreSQL 数据库上执行 SQL 查询。然后我只需要防止人们入侵/攻击我的数据库。

我认为可能的一种方法是仅授予对数据库连接的视图访问权限。并使用 EXPLAIN ANALYZE 计算 SQL 查询的成本。

EXPLAIN ANALYZE 是否值得信赖,可以确保没有廉价的方法让网站崩溃?

你有什么建议吗?

【问题讨论】:

您可以引入登录窗口,并且您可以为所有用户设置权限。如果有人试图入侵/攻击,您将通过他们的用户名/电子邮件知道。 保持简单并不是一个坏主意!但是一些成本计算会很棒。 【参考方案1】:

EXPLAIN ANALYSE 将执行查询,包括它可能产生的任何副作用。 PostgreSQL 还允许运行任意 Perl 和 Python 代码(如果配置为这样做),所以要小心。您最好在按请求的虚拟机或类似的高度隔离的环境中运行 PostgreSQL 实例。

【讨论】:

EXPLAIN ANALYZE 仅在查询的一小部分随机子集上运行,还是会像运行完整查询一样昂贵? @kaibakker 它将运行完整的查询,如文档中所述。

以上是关于授予在静态数据库上执行 SQL 查询的权限的主要内容,如果未能解决你的问题,请参考以下文章

MySQL 基础 SQL -- DCL 数据控制语言 DBA常用(用户管理:查询用户创建用户修改用户密码删除用户,权限控制:查询权限授予权限撤销权限)

授予对 SQL 数据库的权限

SQL Server - 如何将所有数据库的读取权限授予登录名?

17.视图--SQL

SQL Server - 授予对所有现有和未来数据库的读取访问权限的登录权限

oracle数据库怎么授予用户修改表的权限