授予在静态数据库上执行 SQL 查询的权限

Posted 2023-04-19

【中文标题】授予在静态数据库上执行 SQL 查询的权限

【英文标题】：Giving access to execute SQL queries on a static database

【发布时间】：2015-06-09 21:24:06

【问题描述】：

我正在从事一个项目，我希望让人们能够在 PostgreSQL 数据库上执行 SQL 查询。然后我只需要防止人们入侵/攻击我的数据库。

我认为可能的一种方法是仅授予对数据库连接的视图访问权限。并使用 EXPLAIN ANALYZE 计算 SQL 查询的成本。

EXPLAIN ANALYZE 是否值得信赖，可以确保没有廉价的方法让网站崩溃？

你有什么建议吗？

【问题讨论】：

您可以引入登录窗口，并且您可以为所有用户设置权限。如果有人试图入侵/攻击，您将通过他们的用户名/电子邮件知道。

保持简单并不是一个坏主意！但是一些成本计算会很棒。

【参考方案1】：

EXPLAIN ANALYSE 将执行查询，包括它可能产生的任何副作用。 PostgreSQL 还允许运行任意 Perl 和 Python 代码（如果配置为这样做），所以要小心。您最好在按请求的虚拟机或类似的高度隔离的环境中运行 PostgreSQL 实例。

【讨论】：

EXPLAIN ANALYZE 仅在查询的一小部分随机子集上运行，还是会像运行完整查询一样昂贵？

@kaibakker 它将运行完整的查询，如文档中所述。