我已经制作了一个接受查询的表单并通过php执行它。 我想对输入进行检查,只允许select语句进行查询。 我怎样才能实现这一目标?
答案 0 :(得分:12)
最好的方法是,如果您可以访问数据库服务器并创建新用户,则创建仅具有SELECT权限的用户,然后将该用户分配给您的php Web应用程序。
http://dev.mysql.com/doc/refman/5.1/en/grant.html#grant-privileges
正则表达式很好,但过滤它是一种冒险的方法,你永远不会知道你的用户有多么有创意:)
答案 1 :(得分:5)
为安全起见,您可以创建一个MySQL用户,并仅向该用户SELECT permissions。