mysqlでは、「説明しています...」は常に安全ですか？

Question

ユーザのグループがDBD::mysqlを使用してPerlのDBI経由でmysqlにサブミットすることを許可した場合、データベースを変更したり、重要ではない情報を漏洩したり、データベースの負荷？もしそうなら、どうですか？

私は"explain $whatever"を介して、テーブル/列は（あなたがに持っているが、しかし、名を推測）と、表のおおよそどのように多くのレコードまたはインデックス付きフィールドの特定の値を持つレコードの数が存在するかを把握することができます知っています。インデックス化されていないフィールドの内容に関する情報を得ることはできません。

DBD::mysqlは複数のステートメントを許可してはいけません。したがって、どのクエリも実行することはできません（ただ1つのクエリを説明する）。サブクエリを実行するべきではなく、単に説明してください。

しかし、私はMySQLのエキスパートではなく、確かに私が気づいていないmysqlの機能もあります。

クエリプランを考え出す際に、オプティマイザは実際に式を実行して、インデックス付きフィールドが比較される値を思い付くことがありますか？ atable.classがインデックスではなく、ユニークでclass='unused'にレコードを見つけていないだろうが、class='common' 100万レコードを見つけるだろうさ

explain select * from atable where class = somefunction(...) 

。評価するかもしれないsomefunction(...)？そして、somefunction(...)はそれがデータを変更するように書くことができますか？

Answer 1

「Explain」は実行に時間がかかり、いくつかのリソースが使い果たされた場合にクラッシュするなど、任意の量のサーバーリソースを使用することがあります（たとえば、あまりにも多くのネストされたサブクエリによるスタックオーバーフロー）。

"Explain"は、一時的なディスクスペース、サーバーアドレススペース（32ビットシステムでは64ビットシステムでは仮想メモリ）またはスレッドスタック（故意に悪意を持って構築されたクエリの場合）を簡単に使い果たします。

一般に、完全に信頼されていないユーザーがSQLの一部を送信することを許可することはできません。 1つのテーブルにアクセスしなくても、サーバを十分に試してもクラッシュする可能性があります。

---

EDIT：さらに詳細

匿名ビューを使用するクエリ/副問合せをマテリアライズド、多くの場合、一時テーブルに、EXPLAIN時に全体の内側のクエリを実行します。フォーム

SELECT * FROM (
    SELECT h1.*, h2.* FROM huge_table h1, huge_table h2) AS rediculous 

の

だから、クエリが説明し、TMPDIRにディスクスペースを消費するために永遠にかかります。

Answer 2

ユーザーがデータベースに接続できるようにするが、変更しないようにするには、ユーザー権限を使用する必要があります。SELECT権限しかない場合は、何も変更できません。

Answer 3

私は正確なクエリに一致する行の正確な数を得るために '説明'を使用することができました。だから、1はすぐに何でも「秘密」の文字を決定した後、最終的には「秘密」の値を明らかにし、文字の順序を決定するに移動する

explain select * from user where name='tye' and secret like '%a%' 

を使用することができます。