Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Режим отображения отдельной подветви беседы | [ Отслеживать ] |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
8. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | –1 +/– | |
Сообщение от Отражение луны (ok), 10-Апр-15, 03:29 | ||
И давно ты долбишь втихаря?) SQL тем и полезен, что можно удобно цеплять любые данные, которые тебе нужны, причем уже в готовом виде. А большинство проблем SQL инъекций решается нормальным использованием ролей. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +2 +/– | |
Сообщение от Sergey722 (ok), 10-Апр-15, 09:51 | ||
Вы это, того, сами-то поосторожнее с веществами. Товарищ абсолютно справедливо указывает, что в MySQL (в Марии, полагаю, тоже) уже давно поддерживаются подготовленные запросы, которые и являются защитой от SQL-инекций и, на мой непрофессиональный взгляд, не особо ограничивают полет фантазии "художника". А набор костылей, который анализирует содержание запроса... ну Вы поняли. | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anono (?), 10-Апр-15, 10:52 | ||
Не по теме, но всегда хотелось узнать почему SQL - "сиквел". Он с 86-го года уже "эскуэль". | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | –1 +/– | |
Сообщение от клоун (?), 10-Апр-15, 11:13 | ||
Чтобы произносить на одном дыхании: | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anono (?), 10-Апр-15, 11:51 | ||
> Не по теме, но всегда хотелось узнать почему SQL - "сиквел". Он | ||
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору |
20. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +2 +/– | |
Сообщение от Sergey722 (ok), 10-Апр-15, 12:43 | ||
Опыт семейной жизни учит меня не быть слишком придирчивым в восприятии слов и, соответственно, я теперь не особо заморациваюсь, когда сам употребляю слова (иногда это выходит боком, но в целом выгоднее), забочусь в основном о том, чтобы меня правильно поняли. Что касается Вашего вопроса, уже очень давно я начинал читать книгу по MySQL, где автор настаивал, что в случае ЯП правильно говорить "сиквел", а в случае MySQL - "МайЭсКьюЭль" (при этом он говорил, что это не строго и сколько людей - столько мнений). Т.ч. в этом смысле я не совсем корректно выразился, но как я уже говорил не придаю значения таким вещам. Линукс / Линэкс / Гню Линэкс, какая разница? Кто в теме тот поймёт, что имеется ввиду под словом Линукс (в зависимости от контекста). | ||
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору |
28. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +1 +/– | |
Сообщение от Moomintroll (ok), 10-Апр-15, 17:24 | ||
> не особо заморациваюсь | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от йцу (?), 10-Апр-15, 11:03 | ||
Подготовленные запросы не предотвратят подобного: | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
21. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok), 10-Апр-15, 13:02 | ||
> ...не особо ограничивают полет фантазии "художника". | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
23. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +3 +/– | |
Сообщение от тоже Аноним (ok), 10-Апр-15, 14:40 | ||
Собственно, инъекции отбиваются даже простейшими обертками типа safemysql. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Crazy Alex (ok), 10-Апр-15, 21:31 | ||
Ну вот и вкрутили бы именованные вместо вот этого... не знаю даже, как назвать. И какая там потеря? Просто одна фаза подготовки к исполнению запроса (парсинг SQL во внутренние структуры) выполняется заранее. | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
24. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok), 10-Апр-15, 15:28 | ||
> З.Ы.: Грешно так говорить, но меня не покидает мысль, что те, кто не использует подготовленные запросы, должны страдать, потому что это настолько эффективное и простое решение... | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
27. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Sergey722 (ok), 10-Апр-15, 16:18 | ||
Я готов признать, что есть неудобные моменты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anonymous (??), 10-Апр-15, 18:32 | ||
> Нетрудно представить себе ситуацию, когда появляется запрос типа | ||
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору |
32. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Crazy Alex (ok), 10-Апр-15, 21:33 | ||
такое, как вы написали - можно. Нельзя скормить сет из нескольких заначений из приложения одним параметром. Что решается простейшей обёрткой, разумеется. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok), 10-Апр-15, 22:50 | ||
простейшей обёрткой похвастаетесь? | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Bx (ok), 13-Апр-15, 00:06 | ||
>> З.Ы.: Грешно так говорить, но меня не покидает мысль, что те, кто не использует подготовленные запросы, должны страдать, потому что это настолько эффективное и простое решение... | ||
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору |
39. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok), 13-Апр-15, 13:00 | ||
> Это только на первый взгляд. Вред таких запросов не очевиден, но есть. До сих пор бегают пара-тройка перловых скриптов, которым на вход IN может иногда попасть несколько сот параметров. Или даже тысяч, редко. Вместо ожидаемых единиц. :( | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Bx (ok), 13-Апр-15, 17:46 | ||
Я не против оператора IN, я против prepared statement с неопределенным, заранее неизвестным кол-ом входных параметров. Мне фантазия позволяет представить число праметров числом с 6 нулями. Или с 8. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok), 13-Апр-15, 20:55 | ||
> Зачем? | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |