Wordpress的Mysql删除权限

我们正在运行Wordpress站点，其中一个插件需要对数据库具有删除权限。（我们目前不授予drop权限，也不需要为任何其他插件授予drop权限。）

如果我授予公共连接/用户删除权限，是否存在安全问题

所讨论的插件是simplepress，我们收到一个请求删除权限的错误：

[针对表'wp_sfwaiting']拒绝用户xxxxxxx的DROP命令]截断wp sfwaiting

---

Mysql

发生了变化，从5.1.16开始，它需要

DROP

权限：

Truncate

通常用作快速表清除选项（由MySQL自己推荐）。该插件程序员应将其更改为

delete from

，以便仅在获得

delete

权限的情况下进行删除

---

在此之前，您可以只为特定的表授予drop权限。

听起来很奇怪-为什么插件需要删除数据库（除非是自毁按钮或其他东西）？它的任务是什么？当然，若WP的用户有删除权限，那个么用户可以访问的所有内容都可以被删除。我认为这是一个相当大的安全问题。面向公众的帐户永远不应该有这种访问数据库的权限。如果某个插件需要它，那么该插件就有一种夸大的自我重要性。我已经在simplepress插件网站上询问了他们为什么需要删除权限。如果我收到响应，将更新。记录--来自simplepress论坛的响应：有问题的表sfwaiting包含管理员的新未读帖子的管理员队列列表…当需要删除表中的行时，使用mysql truncate命令…这是清空表的标准mysql命令…还有几个地方（可能不会影响您）也使用truncate…当然，您可以编辑代码并将mysql truncate用法更改为其他命令以清空相关表…