forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..."
Отправлено Ordu, 08-Янв-17 14:54

Это ruby и ActiveRecord. Там это может быть не столь элементарно, чем в случае, когда SQL-запрос собирается вручную при помощи конкатенации строк, типа как в пхп. В том смысле, что ActiveRecord позволяет подставлять SQL-код иногда, для всяких разных целей. И мало просто использовать prepared statements, надо знать где находятся грабли, чтобы на них не наступить. Это, к слову, о безопасности языка или, как в данном случае, библиотеки: было бы полезнее урезать функциональность ActiveRecord, вынудив программиста использовать sql вручную, когда ему не хватает возможностей ActiveRecoed -- было бы больше шансов на то, что программист не наступит на эти грабли. Но -- нет, -- хочется напихать в ActiveRecord максимум функциональности, даже когда выбранные абстракции уже не позволяют это сделать, не подкладывая программисту граблей.
Может быть и можно выработать какие-то гайдлайны для программистов, чтобы даже не зная где лежат грабли, можно было бы успешно через них перешагивать -- я не настолько хорошо знаю рельсы, чтобы говорить. Но во всяком случае, тут всё чуть сложнее, чем безрукий "ынтырпрайз": да, кодеру не хватило квалификации, но это задача библиотек и языка делать так, чтобы если кодеру не хватает квалификации, то он бы не мог написать код, не позволяя ему создавать г-нокод, который вроде как даже работает, но требует внимательного чтения и вникания в детали, чтобы найти в нём косяк.

Исходное сообщение
"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." Отправлено Ordu, 08-Янв-17 14:54
Это ruby и ActiveRecord. Там это может быть не столь элементарно, чем в случае, когда SQL-запрос собирается вручную при помощи конкатенации строк, типа как в пхп. В том смысле, что ActiveRecord позволяет подставлять SQL-код иногда, для всяких разных целей. И мало просто использовать prepared statements, надо знать где находятся грабли, чтобы на них не наступить. Это, к слову, о безопасности языка или, как в данном случае, библиотеки: было бы полезнее урезать функциональность ActiveRecord, вынудив программиста использовать sql вручную, когда ему не хватает возможностей ActiveRecoed -- было бы больше шансов на то, что программист не наступит на эти грабли. Но -- нет, -- хочется напихать в ActiveRecord максимум функциональности, даже когда выбранные абстракции уже не позволяют это сделать, не подкладывая программисту граблей. Может быть и можно выработать какие-то гайдлайны для программистов, чтобы даже не зная где лежат грабли, можно было бы успешно через них перешагивать -- я не настолько хорошо знаю рельсы, чтобы говорить. Но во всяком случае, тут всё чуть сложнее, чем безрукий "ынтырпрайз": да, кодеру не хватило квалификации, но это задача библиотек и языка делать так, чтобы если кодеру не хватает квалификации, то он бы не мог написать код, не позволяя ему создавать г-нокод, который вроде как даже работает, но требует внимательного чтения и вникания в детали, чтобы найти в нём косяк.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Это ruby и ActiveRecord. Там это может быть не столь элементарно, чем 
> в случае, когда SQL-запрос собирается вручную при помощи конкатенации строк, типа 
> как в пхп. В том смысле, что ActiveRecord позволяет подставлять SQL-код 
> иногда, для всяких разных целей. И мало просто использовать prepared statements, 
> надо знать где находятся грабли, чтобы на них не наступить. Это, 
> к слову, о безопасности языка или, как в данном случае, библиотеки: 
> было бы полезнее урезать функциональность ActiveRecord, вынудив программиста использовать 
> sql вручную, когда ему не хватает возможностей ActiveRecoed -- было бы 
> больше шансов на то, что программист не наступит на эти грабли. 
> Но -- нет, -- хочется напихать в ActiveRecord максимум функциональности, даже 
> когда выбранные абстракции уже не позволяют это сделать, не подкладывая программисту 
> граблей.

> Может быть и можно выработать какие-то гайдлайны для программистов, чтобы даже не 
> зная где лежат грабли, можно было бы успешно через них перешагивать 
> -- я не настолько хорошо знаю рельсы, чтобы говорить. Но во 
> всяком случае, тут всё чуть сложнее, чем безрукий "ынтырпрайз": да, кодеру 
> не хватило квалификации, но это задача библиотек и языка делать так, 
> чтобы если кодеру не хватает квалификации, то он бы не мог 
> написать код, не позволяя ему создавать г-нокод, который вроде как даже 
> работает, но требует внимательного чтения и вникания в детали, чтобы найти 
> в нём косяк.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру