[php] MySQL Tokenizer

["Dr. Volker Göbbels"]

Hallo zusammen,

> d.h. du willste quasi vermeiden vor einer Datenbankabfrage, die rechte zu prüfen und willst das quasi in der $db klasse automatisiert anhand eines festgelegten schemas tun?
> coole idee. am sinnvollsten wäre das mit regex zu realisieren oder?

hm, ernsthaft? Mein erster Gedanke war: was für eine völlig unnötige 
Idee ;) Aber vielleicht fehlt mir einfach ein Detail.

So etwas ähnliches macht doch soweit ich weiß Typo3, die haben doch 
einen kompletten SQL-Parser im DB-Layer.

Was mir dazu einfiel:
1. Da wird eine Funktionalität auf einer Architekturebene eingebaut, wo
    sie nicht hin gehört.
2. Zusätzliche Sicherheit sehe ich da nicht, wenn ein Angreifer es
    schafft, wie ein legitimer Teil der Applikation SQL Statements
    abzusetzen, hat man ein ganz anderes Sicherheitsproblem.

Aber wie gesagt: vielleicht fehlt mir da eine Perspektive, und das Ganze 
macht tatsächlich Sinn. Kann mir das jemand erklären?

Viele Grüße,
Volker Göbbels
-- 
Dr. Volker Göbbels, Technology Scouting
Arachnion GmbH & Co. KG, Paulinenstraße 28, 52146 Würselen
http://www.arachnion.de, http://twitter.com/VolkerGoebbels
Registered: AmtsG Aachen, HRA 4674, GF Dr. V. Göbbels