Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Режим отображения отдельной подветви беседы | [ Отслеживать ] |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
2. "Опасные уязвимости в платформе электронной коммерции Magento..." | –3 +/– | |
Сообщение от Ordu (ok), 28-Мрт-19, 23:17 | ||
> Наиболее опасная проблема позволяет добиться подстановки своего SQL-кода через отправку специального запроса | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 28-Мрт-19, 23:45 | ||
Попытайтесь. И удивитесь, как много странных случаев, которые в красивые ограничения не укладываются - разного рода генерация имён таблиц на лету и тому подобное. Если проект крупнее hello world - никуда не денетесь, будете время от времени собирать запрос строкой, со всеми вытекающими рисками. | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Опасные уязвимости в платформе электронной коммерции Magento..." | +5 +/– | |
Сообщение от vedronim (?), 29-Мрт-19, 00:43 | ||
Динамически собирать запрос можно и в безопастном виде. | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Аноним (7), 29-Мрт-19, 01:07 | ||
Нет, нельзя. В SQLite, например, нельзя создавать таблицы и триггерить прагмы используя prepared statements. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от vedronim (?), 29-Мрт-19, 09:48 | ||
> Нет, нельзя. В SQLite, например, нельзя создавать таблицы и триггерить прагмы используя | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:43 | ||
Два золотых правила, забывая которые, получают все эти грабли: | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
8. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 01:08 | ||
> Попытайтесь. И удивитесь, как много странных случаев, которые в красивые ограничения не | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
10. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от vitalif (ok), 29-Мрт-19, 01:17 | ||
...и учить ещё один язык в дополнение к SQL. А потом ой а как написать OR? Ой а как написать постгрес специфичный оператор? Ой а как вместо таблицы подзапрос? Ой а CTE написать? | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 01:33 | ||
> ...и учить ещё один язык в дополнение к SQL. | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 02:58 | ||
Да блин, ормов сотоварищи написано уже море. Но используются в основном какой-нибудь джаве, где написать простыню (и ещё кусок xml впридачу) для выполнения чего-то тривиального - норма, как в том же Hibernate. И то вписанные руками SQL запросы - не то чтобы редкость. Потому что по дефолту либо с быстродействием проблемы, либо что-то требует больше динамики, чем может предоставить либа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 04:16 | ||
> Да блин, ормов сотоварищи написано уже море. Но используются в основном какой-нибудь | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:47 | ||
Ну делал я себе такой генератор запросов ради эксперимента. Выкинул. | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Аноним (39), 29-Мрт-19, 12:09 | ||
Не, мужики, вы опять двинулись не в ту сторону. Вместо того, чтобы мечтать о каком-то волшебном эльфийско-единорожьем языке для составления безопасных SQL-запросов, в котором заранее предусмотрено всё для корректной отработки любых, самых заковыристых ситуаций, надо всего лишь начать пороть розгами кодеров, чтобы они научились делать простую вещь: вот здесь должен быть вот такой запрос, вот в этом месте (после "obrer by") него вставляется только "price" или "rating", любой другой вариант - bad request и пнх. А универсальный инструмент, стойкий к идиотам, всё равно сделать не получится. | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 17:35 | ||
ну не живёт оно. Хотелки всегда растут | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Борщдрайвен бигдата (?), 29-Мрт-19, 20:29 | ||
Не надо о них мечтать. Они есть, да, с проверкой корректности в compile time, типобезопасные и прочее. Но, увы, это не о php. | ||
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору |
44. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:25 | ||
> 2) Производительность сборки запроса выходит реально ниже плинтуса. Даже после достаточно | ||
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору |
51. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 17:34 | ||
Я знаю. поэтому и написал "ормов сотоварищи" | ||
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору |
48. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 16:17 | ||
>Проблема решённая на 90% лучше, чем проблема решённая на 0%. | ||
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору |
54. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 19:28 | ||
>>Проблема решённая на 90% лучше, чем проблема решённая на 0%. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от freehck (ok), 29-Мрт-19, 02:00 | ||
> Я лично вообще не понимаю, как можно такие баги (возможность sql-инъекции) допускать на любом языке. | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
12. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от freehck (ok), 29-Мрт-19, 01:57 | ||
> let result = query_builder() | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
22. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 05:04 | ||
>> let result = query_builder() | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:53 | ||
Ага. А теперь давай напишем | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:50 | ||
>[оверквотинг удален] | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от freehck (ok), 30-Мрт-19, 13:24 | ||
> Да блин, хочешь я тебе сейчас прямо здесь напидаю простейшую реализацию? | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
63. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 30-Мрт-19, 23:39 | ||
> И это, блин, всего лишь авторизация. А ты про правильные подходы к организации работы с базой. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 02:22 | ||
Это у вас статически построенный запрос. Для простых случаев - так и делают, благо ормов написано - вагон. А теперь представьте, что оно генерируется динамически - надо - лишнее where добавили (или в него пару-тройку условий), надо - join докрутили, имя таблицы на лету сгенерировали, и так далее. Ну, то есть тоже можно реализовать, но получаются такие монстры, с котороыми связываться - только проблем искать. А если проще - то не выйдет всё эскейпить, оптому что там натурально не только данные подставляются, но и куски языковой конструкции генерируются. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
17. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 04:28 | ||
> Это у вас статически построенный запрос. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 05:32 | ||
Я нашёл! https://github.com/nilportugues/php-sql-query-builder | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
29. "Опасные уязвимости в платформе электронной коммерции Magento..." | +3 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:58 | ||
Да нет, ты не ошибался. Только это не к PHP'шникам, а как раз к любителям "классических" подходов в PHP. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от vedronim (?), 29-Мрт-19, 09:51 | ||
> Да нет, ты не ошибался. Только это не к PHP'шникам, а как | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:27 | ||
> Да нет, ты не ошибался. Только это не к PHP'шникам, а как | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
49. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 16:21 | ||
>Ещё раз: 40 СРАНЫХ ФАЙЛОВ и 100 СРАНЫХ КИЛОБАЙТ КОДА. Ради сборки запроса. | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
9. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 01:10 | ||
да ладно, не удивлен, после новости с циской ))))) | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
40. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Аноним (39), 29-Мрт-19, 12:11 | ||
Зато у меня щас была кошерная - 24816 | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Опасные уязвимости в платформе электронной коммерции Magento..." | +2 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:38 | ||
Это вопрос элементарной аккуратности. Тут надо не тормознющие и ограниченные safe API плодить для раздолбаев, а банально вправлять руки/мозги джунам до просветления. | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
43. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:24 | ||
> Это вопрос элементарной аккуратности. Тут надо не тормознющие и ограниченные safe API | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от конь в пальто (?), 29-Мрт-19, 08:55 | ||
тут не в php дело, а конкретно в маженте - эталонного примера некомпетентности разработчиков. | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
50. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 16:24 | ||
> тут не в php дело, а конкретно в маженте - эталонного примера | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от _ (??), 29-Мрт-19, 14:46 | ||
Ну дык не истери, не плачь, не проси - а возьми И ДАЙ! Ты же типо умнее перечисленных в посте? Или такое же? 😉 | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
53. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 19:25 | ||
> Ну дык не истери, не плачь, не проси - а возьми И | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |