Hello,

Vollkommen korrekt.
Selbst wenn man es hinbekommen würde, nur lesende Zugriffe zu erlauben (was entweder über "interpretieren" des Queries oder über Einstellungen der Benutzerrechte möglich wäre), kann man dadurch Informationen nach außen geben, welche man nicht veröffentlichen will (ganz aktuell bei heise.de zu besichtigen).

Man kann sich auch Stored Routines (Stored Procedures) bauen, die die Anfragen abarbeiten und den direkten Zugriff auf die Tabellen vollkommen unterbinden. Somit könnten nur noch vorgesehene Parameter übergeben werden, Benutzerrechte sowohl horizontal als auch vertikal vergeben und geprüft werden und jedes Query könnte außerdem ausführlich gelogged werden.

Insgesamt ergibt das aber bestimmt auch erheblich mehr als 15 Zeilen Code :-)

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg