Исходное сообщение
"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." Отправлено Алексей Морозов, 09-Янв-17 16:28
> Во-первых, я говорил о том, что подобная штука должна быть чем-то стандартным и разбираться в базе Реальность, данная нам в ощущениях, явственно говорит, что в существующие SQL RDBMS запросы всовываются в текстовом виде. Да, я знаю, что у многих из таких RDBMS есть альтернативные способы формирования запросов, более структурированные. Однако, речь идет именно об SQL, он ровно такой, какой есть. > Во-вторых, она не решает те проблемы, из-за которых обычно начинают руками генерировать SQL Ещё как решает. Если в объекте, отвечающем за таблицу, есть фиксированный набор методов/пропертей, описывающих манипуляции с полями, то и в формируемый SQL-запрос можно будет затолкать ровно эти поля. > Например, "сунуть в SELECT список полей из конфига". В этом случае прикладной программист будет, по первости чертыхаясь и жалуясь на непроизводительную трату времени, писать явный разбор входных данных и явный маппинг токенов в разобранном тексте на вызовы DSL'я. Собственно, прямо буквально за соседним столом такой человек сидит. Но, нужно отметить, после новостей об очередной SQL-инъекции жалоб "а нафига здесь париться, если можно просто склеить несколько строк" становится существенно меньше :)