Ist in den meisten Fällen leider nicht machbar. Es geht mir auch eigentlich nicht darum Plugins in dieser Art zu beschränken und wartungstechnisch ist das nicht leicht zu pflegen. Jedesmal wenn sich die DB ändert, müssen die Rechte angepasst werden.

Es geht primär darum eine mögliche SQL-Injection über ein schlecht geschriebenes Plugin abzufangen, indem im Applikationsskript kontrolliert wird, welche Datenbanktabellen (oder besser -spalten) ein Erweiterungsmodul abzufragen versucht. Wenn es die sind, die der Plugin-Author angegeben hat ist alles gut, wenn nicht streikt das Skript.

Das mit der Datenbankabstraktion bzgl. DB-Änderungen hab ich mir schon abgeschminkt und je länger ich darüber nachdenke wird mir zähneknirschend klar, das ich wohl einen SQL-Parser einsetzen muss.