Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Вопрос-Ответ Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
 SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
Пишут, что современные системы защищают сайты от SQL-инъекций. В то же время, вне сайтостроения тема (вроде бы?) не нужна. Сайтами я заниматься не планирую. Хакером становиться тоже мотивации нет.

Нашла курс по теме. Курс не новый. Актуально ли сейчас изучать эту тему? Мешало ли незнание темы разрабатывать БД? (Не связанные с сайтами.)
14 мар 19, 21:18    [21833059]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Akina
Member

Откуда: Зеленоград, Москва, Россия
Сообщений: 18823
Ante mortem
Актуально ли сейчас изучать эту тему?
Да
Ante mortem
Мешало ли незнание темы разрабатывать БД?
Нет. Проблема инъекции - это проблема клиента, а не SQL-сервера.
Ante mortem
Пишут, что современные системы защищают сайты от SQL-инъекций ... вне сайтостроения тема (вроде бы?) не нужна.
В Интернетах и не такую херню напишут. Ты верь больше...
Не защищают. Нужна.
15 мар 19, 07:52    [21833231]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Dima T
Member

Откуда:
Сообщений: 13625
Используй параметризованные запросы и проблема будет неактуальна.
15 мар 19, 09:06    [21833284]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
msLex
Member

Откуда:
Сообщений: 6005
Akina
Ante mortem
Мешало ли незнание темы разрабатывать БД?
Нет. Проблема инъекции - это проблема клиента, а не SQL-сервера.


Нет, это проблемы того узла, где из подстрок собирается запрос. Проблема вполне может быть в процедуре на сервере БД.
15 мар 19, 13:32    [21833733]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
Спасибо вам!
15 мар 19, 13:55    [21833788]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
softwarer
Member

Откуда: 127.0.0.1
Сообщений: 56565
Блог
Akina
Нет. Проблема инъекции - это проблема клиента, а не SQL-сервера.

Крайне сомнительное, чтобы не сказать полностью неверное утверждение.
15 мар 19, 14:22    [21833863]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 51294
Сабж - это часть sql
Почему бы не прочитать и ее
Это добавит к пониманию sql
17 мар 19, 18:28    [21835308]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
andreymx
Сабж - это часть sql
Почему бы не прочитать и ее

Потому что правило Парето.
17 мар 19, 19:10    [21835337]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 51294
Ante mortem
andreymx
Сабж - это часть sql
Почему бы не прочитать и ее

Потому что правило Парето.
тогда что вообще учить и на чем останавливаться?
Джойны, групп бай, аналитические функции, группинг сетс, роллап, рекурсивные запросы, юнион vs юнион олл, региональные настройки, джобы, принципы налл?
17 мар 19, 20:11    [21835371]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
andreymx
тогда что вообще учить и на чем останавливаться?

Учить то, что пригодится на собеседовании на джуна. Учить базу, а потом нюансы, уже в непосредственно работе. Или хотя бы параллельно с пониманием, в чем эта работа будет заключаться.

Спорим, вы не знаете все НФ наизусть и вряд ли использовали выше 4НФ. Почему не знаете, надо же все знать!
Я, например, их выучила (мне для сдачи экзамена надо).

Шанс, что меня спросят про инъекции на собеседовании - почти нулевой. И еще меньше, что от меня потребуется идеальное знание этой темы в первые дни работы.
17 мар 19, 20:53    [21835398]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Dima T
Member

Откуда:
Сообщений: 13625
Ante mortem
И еще меньше, что от меня потребуется идеальное знание этой темы в первые дни работы.

С этого и надо начинать. Не спросят и просто не допустят писать SQL запросы, даже банальный select. Есть альтернативные подходы, например Code First.
17 мар 19, 21:00    [21835401]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
Dima T
Не спросят и просто не допустят писать SQL запросы, даже банальный select. Есть альтернативные подходы, например Code First.

Спасибо, начала читать.

Прорешала sql-ex еще 2 или 3 года назад. В принципе, могу доказать знание SQL, если не потребуют владение несколькими диалектами. И если не будут спрашивать про оптимизацию запросов в тех СУБД, которые я не видела на практике.
17 мар 19, 21:21    [21835411]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 47376
Ante mortem
Учить то, что пригодится на собеседовании на джуна.

То есть ты просто хочешь обмануть потенциального работодателя, предъявляя фиктивные навыки, а потом учиться методом тыка в процессе собственно работы? Ну-у-у, удачи.
18 мар 19, 14:55    [21836047]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
Dimitry Sibiryakov
То есть ты просто хочешь обмануть потенциального работодателя, предъявляя фиктивные навыки, а потом учиться методом тыка в процессе собственно работы? Ну-у-у, удачи.

Разрешите поинтересоваться, каким именно органом вы читали мои комментарии? Это бы многое прояснило.
18 мар 19, 15:52    [21836150]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 51294
Ante mortem,

а сколько плотють сиквел джунам в этой потенциальной конторе?
18 мар 19, 17:47    [21836339]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
andreymx
а сколько плотють сиквел джунам в этой потенциальной конторе?

В какой именно "этой"?
Я еще не отправляла резюме по профилю БД. Скорее всего, быстрее получится сначала устроиться сейлзом, а потом плавно перейти в ИТ-подразделение.
З/пл для меня имеет минимальное значение.
18 мар 19, 17:56    [21836347]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 47376
Ante mortem
Разрешите поинтересоваться, каким именно органом вы читали мои комментарии?

В отличии от некоторых я для чтения использую мозг. И мой мозг отказывается интерпретировать 21835398 иначе как "главное пройти собеседование, а базу и нюансы я буду учить позже, по ходу работы".

PS: Какой, кстати, "курс по SQL Injection" Вы там нашли, если вся тема инъекций раскрывается парой предложений и одним примером?
19 мар 19, 14:47    [21837394]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
WildSery
Member

Откуда: да, оттуда.
Сообщений: 15341
Нашёл учебное пособие. Не знаю, что там внутри, но возможно, вам подойдёт.
(картинка со ссылкой)

Картинка с другого сайта.
19 мар 19, 17:21    [21837596]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
Dimitry Sibiryakov
И мой мозг отказывается интерпретировать 21835398 иначе как "главное пройти собеседование, а базу и нюансы я буду учить позже, по ходу работы".

Это особенности функционирования вашего мозга.
Тем более, я писала, что до собеседования учится база, на основе которой можно будет себя доучить под более узкую специализацию. Изначально себя готовить под все возможные специализации может только человек с фотографической памятью или бессмертный. Это не я.

Dimitry Sibiryakov
PS: Какой, кстати, "курс по SQL Injection" Вы там нашли, если вся тема инъекций раскрывается парой предложений и одним примером?

Курс спирачен, не хочу его рекламировать. Могу тут позже отписаться по нему, когда пройду. Когда время будет на него.
19 мар 19, 19:20    [21837717]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
WildSery
Нашёл учебное пособие. Не знаю, что там внутри, но возможно, вам подойдёт.
(картинка со ссылкой)
Форта, SQL

Шутите так?

Я же написала, что знаю SQL. Эта книга (и пара других) прочитана и законспектирована минимум 3 года назад. Книга хорошая.

Сейчас, наверное, Дейта почитаю "Дейт К.Дж. - SQL и реляционная теория. Как грамотно писать код на SQL - 2010".
19 мар 19, 19:25    [21837724]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 51294
WildSery
Нашёл учебное пособие. Не знаю, что там внутри, но возможно, вам подойдёт.
(картинка со ссылкой)

Картинка с другого сайта.
что-то он на наллы взъелся
Работаю с ними 16 лет, никакого негатива
19 мар 19, 20:13    [21837747]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 51294
Ante mortem



Сейчас, наверное, Дейта почитаю "Дейт К.Дж. - SQL и реляционная теория. Как грамотно писать код на SQL - 2010".
сорри, это сюда

что-то он на наллы взъелся
Работаю с ними 16 лет, никакого негатива
19 мар 19, 20:15    [21837750]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
Ante mortem
Member

Откуда:
Сообщений: 140
andreymx
что-то он на наллы взъелся

Видела критику на другую его книгу, по проектированию. Многие говорят, что Дейт - теоретик в ущерб практике. Даже на этом форуме.
Но мне он нравится фундаментальным подходом. И, наверное, тем, что я тоже люблю теоретические выкладки.

Благодарю вас за информацию, учту, когда увижу про наллы.
19 мар 19, 21:56    [21837801]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
kdv
Member

Откуда: iBase.ru
Сообщений: 27938
andreymx,

правильно взъелся, один гемор. Оракл вон, никак '' от null отличить не может.
А если без шуток, то проблема с null в FK, например, у Дейта оч. хор. описана.
Опять же, в полях ввода приложений null никак не ввести, и т.д.
19 мар 19, 22:31    [21837849]     Ответить | Цитировать Сообщить модератору
 Re: SQL-инъекции, актуально ли?  [new]
andreymx
Member

Откуда: Запорожье
Сообщений: 51294
вот есть расчетная таблица в себестоимости
где куча расчетных полей, заполняющихся последовательно разными процедурами
занафига там все нот наллы? просто забить нулями всё то, что ещё не вычислили? но это явно получится недостоверная информация



kdv
в полях ввода приложений null никак не ввести
хм...
даже в старинном Делфи7 + ehlib того же затертого 2002 года это легко делается
20 мар 19, 00:24    [21837911]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
Все форумы / Вопрос-Ответ Ответить