“安全”允许用户使用 SQL 进行搜索

Question

例如，我经常想用 stackoverflow 搜索

SELECT whatever FROM questions WHERE
   views * N + votes * M > answers AND NOT(answered) ORDER BY views;

或类似的东西。

有没有合理的方式让用户使用 SQL 作为搜索/过滤语言？

我发现它有一些问题：

• 访问/更改内容（仔细设置的用户帐户应该可以解决该问题）
• SQL 注入（考虑到以前的最坏情况，他们应该能够做的就是找回垃圾并在会话中崩溃）。
• 带有病态查询的 DOS 攻击
• 你给他们什么索引？

编辑：我想允许加入，什么也不允许。

Answer 1

访问/更改内容
没问题，只需使用残障用户运行查询，只有选择权限

SQL 注入
只需清理查询

DOS 攻击
使查询超时并通过 IP 限制访问。我猜你也可以限制某些服务器的 CPU 使用率

Answer 2

如果您执行SQLEncode 用户的输入（并确保同时删除所有;！），我认为没有巨大的安全漏洞（除了我们仍在向精神病患者分发核武器...... ) 具有三个输入框 - 一个用于表格，一个用于列，一个用于条件。他们将无法在其条件中包含字符串，但像您的示例这样的查询应该可以工作。您将实际粘贴 SQL 语句，因此您将控制实际执行的内容。如果您的设置足够好，您将是安全的。

但是，我不会让我的用户这样输入 SQL。如果你想真正自定义搜索选项，要么给搜索字段一堆标志，要么给一堆可以随意组合的表单元素。

另一种选择是发明某种“标记语言”，有点像 Markdown（SO 用于格式化所有这些问题和答案的框架......），您可以将其翻译为 SQL。然后您可以确保只执行“无害”选择，并且可以保护用户数据等。

事实上，如果你曾经实现过这个，你应该看看是否可以从 SQL 服务器上的单独帐户运行命令，该帐户只能访问非常基本的需求，并且显然只有读取访问权限。

Answer 3

Facebook 使用 FQL 执行此操作。请参阅blog post 或presentation。

Answer 4

我只是想到了一种强大的清理方法，可以用来限制可以使用的内容。

• 使用 MySQL 并获取它的 lex/yacc 文件
• 按原样使用 lex 文件
• 将 yacc 文件仅保留为您希望允许的内容
• 使用在成功时输出输入的操作规则。