[Php+MySql] Controllare query

[XBarboX]

Ciao a tutti,
sperando di essere nella sezione giusta vorrei chiedervi una cosa:
ho un database mysql con un cartella chiamata 'file' . In questa cartella devo permettere all'utente di fare query di ricerca tramite query sql.

Per esempio:

l'utente può:
select * from file where nome like 'prova'
ecc..

l'utente non può fare:
insert, update, delete. Può solo leggere il contenuto della cartella file e non può modificare nulla.

dato che ricevo una stringa con la query come posso fare un controllo sicuro in modo da verificare che effettivamente guardi solo la cartella file e che non modifichi nulla?

Ho provato ma ho trovato i segentu problemi:
-" e ' vanno mantenuti altrimenti una query tipo select * from file where nome = \"ciao\" non funziona. Quindi è a riscio mysql injection?
-Ho provato a fare un str_replace delle parole tipo insert, update, delete. Ma cancella anche magari il nome del file, come in questo esempio:
select * from file where nome="insert" -> select * from file where ""

Avete qualche idea?

stavo pensando di creare un utente mysql apposito con soli dirtti di lettura per una quella cartella.. è una buona idea?

grazie

[Alhazred]

Prima cosa, si chiamano "tabelle" e non "cartelle".

Puoi controllare la stringa per vedere se contiene "insert into" o "update file" o "delete from file", invece di controllare solo "insert", "update" e "delete".
Per esempio:

Codice PHP:

$stringa = strtolower($stringa); //così ti risparmi eventuali problemi di maiuscole o minuscole
if(strpos($stringa,"insert into") !== false || strpos($stringa,"update file") !== false || strpos($stringa,"delete from file") !== false)
{
    echo "non puoi eseguire questa query!";
}
else
{
    //esegui la query
} 


[zoseppe]

Originariamente inviato da XBarboX

stavo pensando di creare un utente mysql apposito con soli dirtti di lettura per una quella cartella.. è una buona idea?

grazie

Secondo me è la soluzione migliore: gli dai solo i diritti di select e il gioco è fatto!