[php] MySQL Tokenizer

[klemens]

Hi,

hatte früher auch schon mit solchen gedanken gespielt.

was ich momentan (auch wenn warscheinlich nicht überall 100% umsetzbar)
besser finden würde:

DB's (auch mysql) können von haus aus mit verschiedenen
user/gruppen-rechten umgehen.

d.h ich erweitere die DB-klasse um z.b. setDBAuth; dementsprechend
ändert sich im hintergrund der db-user, der auf die DB connected.

normal: einfach nur select auf ein paar app-tabellen (aber nicht auf
user-tabelle (passwort)) (z.b. für suche, ... )
wenn mehr gebraucht wird, sparsam mit
->setDBAuth("user") mit insert/update-rechten auf diverse app-tabellen
->setDBAuth("account") mit insert/update/del auf users tabelle;
->setDBAuth("install") mit create/drop/alter -table auf alle tabellen;
->setDBAuth("default") wieder retour zu r/o nach getaner arbeit.
...

Allein durch das, würden wohl 90% der SQL lücken in web-apps gegen die
Wand laufen. (also nicht aus der "suche" ausbrechen und gleich ein "drop
database" absetzen -- und die restlichen 10% wären auf grund der
kleineren zu testenden code-basis leichter zu finden)

Mich wunderts, dass ich sowas noch nirgend gesehen habe. (z.b joomla,
wordpress, ... )

.ka

Am Donnerstag, den 28.05.2009, 09:58 +0200 schrieb Marco Weber:
> Hallo,
> 
> Ich habe ein Datenbank Objekt, das im Prinzip einfach die MySQLi Objekte
> kapselt.
> Was ich nun machen möchte, ist beim $db->query() aufruf, das query zu
> zerlegen, damit ich dann überprüfen kann ob ein zugriff erlaubt ist.
> ( Also im Prinzip so was wie mysql proxy für php zum Filtern der queries. )
> 
> Also im Prinzip möchte ich z.B. überprüfen, ob bestimmte Zugriffe
> erlaubt sein sollen.
> 
> Hat jemand von euch schon mal so was gemacht? Oder einen Tipp wie ich
> die Queries in Tokens zerlegen kann?
> 
> 
> Grüsse
>      Marco