存储过程可以防止 SQL 注入吗？

Question

Felipe Felix

Asked: 2021-11-09 08:45:37 +0800 CST2021-11-09 08:45:37 +0800 CST 2021-11-09 08:45:37 +0800 CST

PostgreSQL 中的操作级授权

772

我正在开发一个分析应用程序，它提供 Postgres DB 中数据仓库的多层次可视化。它的要求之一是不同的用户应该对数据具有不同的访问权限。例如，一些用户应该只从特定表中提取指标 ( counts, avgs, sums)，而其他用户可以将数据下钻到列级别。

例子：

employee table

 id    | name   | salary
-------+--------+--------+
     1 | josé   |  20000 
     2 | joão   |  80000 
     3 | tiago  |  60000 

user 1 (can drill down)
------
=> select name from employee where id = 1 
=> josé

user 2 (can read only aggregate data)
------
=> select avg(salary) from employee
=> 53333.3333333
=> select name from employee where id = 1 
=> ERROR

我认为任何 RDBMS 都不会原生提供。但我想知道是否有任何工具可以帮助我完成此授权级别，而无需在应用程序级别对其进行硬编码。

2 个回答

Voted

jjanes · Answer 1 · 2021-11-09T09:00:31+08:00

Best Answer

jjanes

2021-11-09T09:00:31+08:002021-11-09T09:00:31+08:00

您可以使用视图执行此操作。视图的列必须命名，不能在函数形式中指定。

create view employee_agg as select count(*), avg(salary) from employee;
grant SELECT ON employee_agg TO user2;

现在作为用户2：

select * from employee;
ERROR:  permission denied for table employee

select * from employee_agg;
 count |         avg         
-------+---------------------
     3 | 53,333.333333333336

2

Yuri Levinsky · Answer 2 · 2021-11-11T06:32:01+08:00

Yuri Levinsky

2021-11-11T06:32:01+08:002021-11-11T06:32:01+08:00

有内置机制行安全策略。在此处输入链接描述

0

PostgreSQL 中的操作级授权

连接到 PostgreSQL 服务器：致命：主机没有 pg_hba.conf 条目

如何让sqlplus的输出出现在一行中？

选择具有最大日期或最晚日期的日期

如何列出 PostgreSQL 中的所有模式？

列出指定表的所有列

如何在不修改我自己的 tnsnames.ora 的情况下使用 sqlplus 连接到位于另一台主机上的 Oracle 数据库

你如何mysqldump特定的表？

使用 psql 列出数据库权限

如何从 PostgreSQL 中的选择查询中将值插入表中？

如何使用 psql 列出所有数据库和表？

PostgreSQL 中的操作级授权

2 个回答

相关问题