只禁止使用DBMS函数，能否完全保证系统的安全？请问

ashlv

因为最近在做一个小项目，目的就是要把系统里面的所有表，以客户容易理解的方式提供给客户使用，这些客户一般都是公司里的领导，所以要做到尽可能的容易扩展，参数什么的就不能使用PreparedStatement了
虽然查询是提供全面的权限，但是在修改或删除时希望做限制
因此客户能够使用的SQL只能是select开头
另外系统中包含了insert,delete,alter system kill session等开头的操作一般客户是不能生成这样的语句的，也就是说系统有这个权限，但是希望用户不要跨越了自己的权限，只要使用select 就好
偶测试了一下，jdbc中select是不支持使用;分割的多条语句同时提交，同时我也禁止了语句中包含dbms_字样的任何语句，请问这样能保证安全吗？谢谢

tanyangxf

回复 1# ashlv


    既然客户的sql只能是select开头，为什么不只给客户查询权限呢？

ashlv

回复 2# tanyangxf


    谢谢
因为这个系统，对于一些复杂的查询语句会按照一定的规则进行SQL的拆分和重构，有时还会使用临时表来进行优化，避免一些很难使用HINTS优化的语句直接就挂掉，而因为使用了连接池这个临时表还不能使用global temporary这样东西，所以需要insert 和delete来处理，还有就是这个还需要支持一个保存当前查询方便日后直接调用或编辑的功能，所以也需要insert 和delete还有update

renxiao2003

做好权限处理，应该可以的。

〇〇

不利用Oracle已有的功能，自己开发很麻烦

h200952709

{:3_182:}{:3_182:}{:3_182:}{:3_182:}{:3_182:}