forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода, opennews (??), 04-Июл-22, (0) [смотреть все]

просто используешь построитель запросов и все Но нет, давайте клеить sql-строку, Аноним (1), 15:32 , 04-Июл-22, (1) //

Меня, как опытному в SQL, люто бомбит от использования ORM, в котором надо трижд, Без аргументов (?), 15:50 , 04-Июл-22, (4) –6 //

У меня конструкции вида select func max text cast key as integer ,text valu, Аноним (6), 16:06 , 04-Июл-22, (6) –7 //

Кстати, там то же самое рядом через ORM, если это зло и намного хуже, то я даже , Аноним (6), 16:11 , 04-Июл-22, (8) –2

везде нифига не понятно интересно, как это будет работать, если строк миллион а, Без аргументов (?), 19:54 , 04-Июл-22, (25)

Прекрасно это работает Откуда там миллиону взяться, если поле с жсоном обновляе, Аноним (6), 20:19 , 04-Июл-22, (31)

Вот так и начинаются кадастрофы , ПерлухаБратуха (?), 04:46 , 05-Июл-22, (48)

В данном случае это костыль, позволяющий избежать бессмысленного усложнения схем, Аноним (6), 13:44 , 05-Июл-22, (53)

max int k for k in self relations - это какая-то хитрая чёрная магия Или про, Онаним (?), 22:11 , 04-Июл-22, (39)

Но если к max надо ещё условие присандалить, то будет получаться шиза вида sel, Онаним (?), 22:13 , 04-Июл-22, (40)
Это именно получение последнего по времени объекта из жсона, с ним можно работат, Аноним (6), 22:45 , 04-Июл-22, (43)

Я ничего тут не понял что там у вас про JSON Я говорю про человеческую нормализ, Без аргументов (?), 19:52 , 04-Июл-22, (24)

Да не, тут нормально всё Это json в sqlite, надо получить последнюю по времени , Аноним (6), 20:16 , 04-Июл-22, (30)

Ну я же говорю, что это детский садик Другое дело когда у вас оракл и 120ГБ ОЗУ, Без аргументов (?), 00:03 , 05-Июл-22, (45)

Так если бы там были какие-то данные, я бы как минимум не стал использовать жсон, Аноним (6), 00:11 , 05-Июл-22, (46)

ОРМ нужен не для того чтобы неадекватную архитектуру покрывать Если кто-то модел, GG (ok), 10:53 , 05-Июл-22, (49) –2

Хех, но ведь это же вообще не имеет отношения к ORM, претензия должна быть к SQL, Аноним (6), 14:39 , 05-Июл-22, (55)

На практике в нормализованных БД слишком много джойнов, даже если это база микро, Аноним (56), 03:13 , 06-Июл-22, (56) +1

Ха Да Дальше второй формы уходить - это уже для особых случаев Когда не жалко, Онаним (?), 00:03 , 08-Июл-22, (67)

Глаза чутка подвытекли Я уж за производительность этого добра даже не переживаю , Онаним (?), 22:07 , 04-Июл-22, (37) +1

Кстати, с производительностью всё удивительно хорошо в итоге Ну и оно же кэширу, Аноним (6), 22:52 , 04-Июл-22, (44)

Хотя конечно после cast key as integer там уже точно ничего не страшно, Онаним (?), 22:07 , 04-Июл-22, (38) +1
особенно тут , Аноним (61), 19:50 , 06-Июл-22, (61)

Разве что, чуточку Но в SQL это выглядело не лучше и позволяло выполнить подста, Аноним (6), 20:08 , 06-Июл-22, (62)

Не понял, ты на код глазами смотришь или чем Про возможность эскейпинга подстав, Аноним (68), 17:02 , 09-Июл-22, (68)

Да, я, например, хочу строить запросы одинаково на любом рантайме , Аноним (66), 18:38 , 07-Июл-22, (66)

Опять все путают ORM и Query Builder ORM нужна для того, чтобы автоматически орг, Аноним (7), 16:09 , 04-Июл-22, (7) +3 //

Вот весь прикол в том, что аналитические запросы есть смысл класть на нормальную, kai3341 (ok), 19:29 , 04-Июл-22, (18)

Да, ORM-функциональность Алхимии можно использовать и с аналитикой, осуществляя , Аноним (19), 19:41 , 04-Июл-22, (19)

Пользуясь случаем, о каком двустороннем маппинге речь Об ActiveRecord Если да,, kai3341 (ok), 19:48 , 04-Июл-22, (23)

Поскольку тормозит применительно к питону - это его естественное состояние, всё , Онаним (?), 22:16 , 04-Июл-22, (41) –1

Давно уже есть, просто довольно нетривиально, GG (ok), 10:56 , 05-Июл-22, (50) –1

Меня тоже бомбило, но потом я попробовал алхимию https habr com ru post 55973, kai3341 (ok), 16:16 , 04-Июл-22, (9) –3 //

Если выходит плюс минус так же, зачем Чтобы что В базу оно все равно пойдет в , Аноним (12), 17:30 , 04-Июл-22, (12)

Как думаете, зачем я дал ссылку на статью Ответ -- в ней ответы на заданные вам, kai3341 (ok), 18:19 , 04-Июл-22, (13) –2

Расскажи пожалуйста подробно, зачем ты делаешь сложные операции Ты не думал что, Аноним (11), 16:53 , 04-Июл-22, (11) +2 //

Я работал разработчиком BI-отчетов и витрин данных Там на первом месте оптимиза, Без аргументов (?), 19:45 , 04-Июл-22, (20)

Вон из профессии, GG (ok), 10:57 , 05-Июл-22, (51) –3

Вся эта шелуха работает до тех пор, пока проект более менее не вырастет в большу, Без аргументов (?), 19:57 , 04-Июл-22, (27) –1

Но-но, у нас тут хайлоад, кек Орм в первую очередь, про удобство взаимодействия, Аноним (6), 20:51 , 04-Июл-22, (32)

Народ ныне очень любит ORM отрывать от логики объектов, превращая его в прослойк, Онаним (?), 21:59 , 04-Июл-22, (35) +2

Если у тебя набор данных сложнее товаров для витрины превращается в непроходимую, GG (ok), 11:00 , 05-Июл-22, (52) –1

Пока у тебя да, полтора товара на витрине, как правильно указали - тебе пойдёт и, Онаним (?), 22:03 , 04-Июл-22, (36)

А каким образом Вы боретесь с уязвимостями типа sql-иньекция , Аноним (17), 18:56 , 04-Июл-22, (17) //

Проверить входные параметры, чтобы без точек с запятой и т п А вообще изкоробки, Без аргументов (?), 19:46 , 04-Июл-22, (21)

Любой драйвер БД умеет в подстановку значений Я рекомендую читать документацию, kai3341 (ok), 20:05 , 04-Июл-22, (28)

Нифига сколько неосиляторов в SQL минусонуло Ну я тоже с трудом въезжал Пока н, Без аргументов (?), 19:56 , 04-Июл-22, (26) –1 //

Не в этом дело, мне кажется Просто, комментатор слишком уж категоричен Ну и по, Аноним (6), 21:00 , 04-Июл-22, (33)

Ды не, ORM своё место Тут стоит для начала вернуться к тому, что ORM от SQL-inj, Онаним (?), 22:19 , 04-Июл-22, (42) +1

Скрыто модератором, васёк (?), 15:36 , 04-Июл-22, (2) –1 //

Скрыто модератором, Корец (?), 15:46 , 04-Июл-22, (3) +1
Скрыто модератором, Без аргументов (?), 15:51 , 04-Июл-22, (5)

Тест на имбецила в 21 веке Если такая ошибка находится, СРАЗУ же в отдел кадров, Аристарх (??), 18:46 , 04-Июл-22, (14) –2 //

Соглы , Без аргументов (?), 19:47 , 04-Июл-22, (22) +1

А как это можно использовать Не совсем понятно, куда нужно вбивать свой СКУЛь , Sergey (??), 18:46 , 04-Июл-22, (15) //

В эксплоит Эксплоит тебе придеться купить , Аноним (63), 14:41 , 07-Июл-22, (63)

Нужно использовать подготовленные выражения и тогда sql-иньекции станут невозм, Аноним (17), 18:49 , 04-Июл-22, (16) +1
затонеphp tm Суть та же, криворучки - они повсюду , Онаним (?), 20:10 , 04-Июл-22, (29) –1
Sql injection в 2022 Достижение , Аноним (34), 21:51 , 04-Июл-22, (34) +1 //

Достижение, что наконец-то лидерство какого-то говнянеького фреймворка начинает , Аноним (63), 14:43 , 07-Июл-22, (64)

Перечисленные методы в нормальных руках при нормальных мозгах никогда не будут, Аноним (47), 04:32 , 05-Июл-22, (47) +1
А раст может как-то помочь Или в расте такие же дыры , Аноним (61), 14:06 , 05-Июл-22, (54) //

От ошибок в бизнес-логике раст тоже не защитит Только от гонок и некоторых видо, Аноним (56), 03:25 , 06-Июл-22, (57) //

Пока вебрендера не было, синхронизация вкладок не отваливалась , Аноним (6), 03:47 , 06-Июл-22, (58) +1 //

Ратс не нужен забудь про него плз , Аноним (60), 17:45 , 06-Июл-22, (60) +1

Так его так и не доснимали же , Аноним (63), 14:49 , 07-Июл-22, (65)

Сообщения [Сортировка по времени | RSS]

17. "Уязвимость в web-фреймворке Django, которая может привести к..." +/–

Сообщение от Аноним (17), 04-Июл-22, 18:56

А каким образом Вы боретесь с уязвимостями типа "sql-иньекция"?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

21. "Уязвимость в web-фреймворке Django, которая может привести к..." +/–

Сообщение от Без аргументов (?), 04-Июл-22, 19:46

Проверить входные параметры, чтобы без точек с запятой и т.п. А вообще изкоробки обычно есть постановка параметров (через ???), которая проверяет.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в web-фреймворке Django, которая может привести к..." +/–

Сообщение от kai3341 (ok), 04-Июл-22, 20:05

> Проверить входные параметры, чтобы без точек с запятой и т.п. А вообще
> изкоробки обычно есть постановка параметров (через ???), которая проверяет.
Любой драйвер БД умеет в подстановку значений. Я рекомендую читать документацию

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	17. "Уязвимость в web-фреймворке Django, которая может привести к..."	+/–
	Сообщение от Аноним (17), 04-Июл-22, 18:56
	А каким образом Вы боретесь с уязвимостями типа "sql-иньекция"?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	21. "Уязвимость в web-фреймворке Django, которая может привести к..."	+/–
	Сообщение от Без аргументов (?), 04-Июл-22, 19:46
	Проверить входные параметры, чтобы без точек с запятой и т.п. А вообще изкоробки обычно есть постановка параметров (через ???), которая проверяет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость в web-фреймворке Django, которая может привести к..."	+/–
	Сообщение от kai3341 (ok), 04-Июл-22, 20:05
	> Проверить входные параметры, чтобы без точек с запятой и т.п. А вообще > изкоробки обычно есть постановка параметров (через ???), которая проверяет. Любой драйвер БД умеет в подстановку значений. Я рекомендую читать документацию
	Ответить \| Правка \| Наверх \| Cообщить модератору