forum.opennet.ru

"Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в web-фреймворке Django, которая может привести к..."	+/–
Сообщение от Аноним (32), 04-Июл-22, 20:51
Но-но, у нас тут хайлоад, кек. Орм в первую очередь, про удобство взаимодействия с данными. У тебя есть инстанс чего-то, у него есть отношения с другими инстансами чего-то, на эти инстансы по различным правилам мапятся данные из таблиц, при совершении определённых операций могут случатся всевозможные полезные вещи с зависимостями в других таблицах. Когда он больше не нужен, он автоматически удаляешься из сессии (и её кэша). Если шпарить sql, довольно быстро свихнёшься, а баги ловить ещё то удовольствие. Хотя ВЫГЛЯДИТ оно куда проще, ага. Стоимость намного выше в итоге, а ошибок и уязвимостей больше, сопровождение и доработка часто превращаются в практически не решаемую проблему. Если, конечно, задача примитивная, там чем проще тем лучше, но когда связей много, или много условий, что и когда подгружать (у записи много данных, которые не нужны при наиболее частых обращениях) и обновлять, тут без орм никуда. Я бы не стал прям так демонизировать орм, у этого подхода есть большой спектр задач, которые он способен решать весьма эффективно. В принципе, та же алхимия, может использоваться и без орм, если производительность и эффективность прямо так важны (что крайне маловероятно на практике), всё ещё остаётся много хорошего, что в ней есть помимо него.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в web-фреймворке Django, которая может привести к подстановке SQL-кода, opennews, 04-Июл-22, 15:32 [смотреть все]

просто используешь построитель запросов и все Но нет, давайте клеить sql-строку, Аноним, 04-Июл-22, 15:32 (1) //
- Меня, как опытному в SQL, люто бомбит от использования ORM, в котором надо трижд, Без аргументов, 04-Июл-22, 15:50 (4) //
  - У меня конструкции вида select func max text cast key as integer ,text valu, Аноним, 04-Июл-22, 16:06 (6) //
    - Кстати, там то же самое рядом через ORM, если это зло и намного хуже, то я даже , Аноним, 04-Июл-22, 16:11 (8)
      - везде нифига не понятно интересно, как это будет работать, если строк миллион а, Без аргументов, 04-Июл-22, 19:54 (25)
        
        Прекрасно это работает Откуда там миллиону взяться, если поле с жсоном обновляе, Аноним, 04-Июл-22, 20:19 (31)
        
        Вот так и начинаются кадастрофы , ПерлухаБратуха, 05-Июл-22, 04:46 (48)
        
        В данном случае это костыль, позволяющий избежать бессмысленного усложнения схем, Аноним, 05-Июл-22, 13:44 (53)
      - max int k for k in self relations - это какая-то хитрая чёрная магия Или про, Онаним, 04-Июл-22, 22:11 (39)
        
        Но если к max надо ещё условие присандалить, то будет получаться шиза вида sel, Онаним, 04-Июл-22, 22:13 (40)
        Это именно получение последнего по времени объекта из жсона, с ним можно работат, Аноним, 04-Июл-22, 22:45 (43)
    - Я ничего тут не понял что там у вас про JSON Я говорю про человеческую нормализ, Без аргументов, 04-Июл-22, 19:52 (24)
      - Да не, тут нормально всё Это json в sqlite, надо получить последнюю по времени , Аноним, 04-Июл-22, 20:16 (30)
        
        Ну я же говорю, что это детский садик Другое дело когда у вас оракл и 120ГБ ОЗУ, Без аргументов, 05-Июл-22, 00:03 (45)
        
        Так если бы там были какие-то данные, я бы как минимум не стал использовать жсон, Аноним, 05-Июл-22, 00:11 (46)
        
        ОРМ нужен не для того чтобы неадекватную архитектуру покрывать Если кто-то модел, GG, 05-Июл-22, 10:53 (49)
        
        Хех, но ведь это же вообще не имеет отношения к ORM, претензия должна быть к SQL, Аноним, 05-Июл-22, 14:39 (55)
      - На практике в нормализованных БД слишком много джойнов, даже если это база микро, Аноним, 06-Июл-22, 03:13 (56)
        
        Ха Да Дальше второй формы уходить - это уже для особых случаев Когда не жалко, Онаним, 08-Июл-22, 00:03 (67)
    - Глаза чутка подвытекли Я уж за производительность этого добра даже не переживаю , Онаним, 04-Июл-22, 22:07 (37)
      - Кстати, с производительностью всё удивительно хорошо в итоге Ну и оно же кэширу, Аноним, 04-Июл-22, 22:52 (44)
    - Хотя конечно после cast key as integer там уже точно ничего не страшно, Онаним, 04-Июл-22, 22:07 (38)
    - особенно тут , Аноним, 06-Июл-22, 19:50 (61)
      - Разве что, чуточку Но в SQL это выглядело не лучше и позволяло выполнить подста, Аноним, 06-Июл-22, 20:08 (62)
        
        Не понял, ты на код глазами смотришь или чем Про возможность эскейпинга подстав, Аноним, 09-Июл-22, 17:02 (68)
    - Да, я, например, хочу строить запросы одинаково на любом рантайме , Аноним, 07-Июл-22, 18:38 (66)
  - Опять все путают ORM и Query Builder ORM нужна для того, чтобы автоматически орг, Аноним, 04-Июл-22, 16:09 (7) //
    - Вот весь прикол в том, что аналитические запросы есть смысл класть на нормальную, kai3341, 04-Июл-22, 19:29 (18)
      - Да, ORM-функциональность Алхимии можно использовать и с аналитикой, осуществляя , Аноним, 04-Июл-22, 19:41 (19)
        
        Пользуясь случаем, о каком двустороннем маппинге речь Об ActiveRecord Если да,, kai3341, 04-Июл-22, 19:48 (23)
      - Поскольку тормозит применительно к питону - это его естественное состояние, всё , Онаним, 04-Июл-22, 22:16 (41)
    - Давно уже есть, просто довольно нетривиально, GG, 05-Июл-22, 10:56 (50)
  - Меня тоже бомбило, но потом я попробовал алхимию https habr com ru post 55973, kai3341, 04-Июл-22, 16:16 (9) //
    - Если выходит плюс минус так же, зачем Чтобы что В базу оно все равно пойдет в , Аноним, 04-Июл-22, 17:30 (12)
      - Как думаете, зачем я дал ссылку на статью Ответ -- в ней ответы на заданные вам, kai3341, 04-Июл-22, 18:19 (13)
  - Расскажи пожалуйста подробно, зачем ты делаешь сложные операции Ты не думал что, Аноним, 04-Июл-22, 16:53 (11) //
    - Я работал разработчиком BI-отчетов и витрин данных Там на первом месте оптимиза, Без аргументов, 04-Июл-22, 19:45 (20)
      - Вон из профессии, GG, 05-Июл-22, 10:57 (51)
    - Вся эта шелуха работает до тех пор, пока проект более менее не вырастет в большу, Без аргументов, 04-Июл-22, 19:57 (27)
      - Но-но, у нас тут хайлоад, кек Орм в первую очередь, про удобство взаимодействия , Аноним, 04-Июл-22, 20:51 (32)
        
        Народ ныне очень любит ORM отрывать от логики объектов, превращая его в прослойк, Онаним, 04-Июл-22, 21:59 (35)
      - Если у тебя набор данных сложнее товаров для витрины превращается в непроходимую, GG, 05-Июл-22, 11:00 (52)
    - Пока у тебя да, полтора товара на витрине, как правильно указали - тебе пойдёт и, Онаним, 04-Июл-22, 22:03 (36)
  - А каким образом Вы боретесь с уязвимостями типа sql-иньекция , Аноним, 04-Июл-22, 18:56 (17) //
    - Проверить входные параметры, чтобы без точек с запятой и т п А вообще изкоробки, Без аргументов, 04-Июл-22, 19:46 (21)
      - Любой драйвер БД умеет в подстановку значений Я рекомендую читать документацию, kai3341, 04-Июл-22, 20:05 (28)
  - Нифига сколько неосиляторов в SQL минусонуло Ну я тоже с трудом въезжал Пока н, Без аргументов, 04-Июл-22, 19:56 (26) //
    - Не в этом дело, мне кажется Просто, комментатор слишком уж категоричен Ну и по, Аноним, 04-Июл-22, 21:00 (33)
  - Ды не, ORM своё место Тут стоит для начала вернуться к тому, что ORM от SQL-inj, Онаним, 04-Июл-22, 22:19 (42)
и питоша тоже я думал только Сишка дырявая , васёк, 04-Июл-22, 15:36 (2) //
- Не переживай, дырявым может быть код на любом языке Даже на том самом , Корец, 04-Июл-22, 15:46 (3)
- А у тебя минимум 4 дырки , Без аргументов, 04-Июл-22, 15:51 (5)
Тест на имбецила в 21 веке Если такая ошибка находится, СРАЗУ же в отдел кадров, Аристарх, 04-Июл-22, 18:46 (14) //
- Соглы , Без аргументов, 04-Июл-22, 19:47 (22)
А как это можно использовать Не совсем понятно, куда нужно вбивать свой СКУЛь , Sergey, 04-Июл-22, 18:46 (15) //
- В эксплоит Эксплоит тебе придеться купить , Аноним, 07-Июл-22, 14:41 (63)
Нужно использовать подготовленные выражения и тогда sql-иньекции станут невозм, Аноним, 04-Июл-22, 18:49 (16)
затонеphp tm Суть та же, криворучки - они повсюду , Онаним, 04-Июл-22, 20:10 (29)
Sql injection в 2022 Достижение , Аноним, 04-Июл-22, 21:51 (34) //
- Достижение, что наконец-то лидерство какого-то говнянеького фреймворка начинает , Аноним, 07-Июл-22, 14:43 (64)
Перечисленные методы в нормальных руках при нормальных мозгах никогда не будут, Аноним, 05-Июл-22, 04:32 (47)
А раст может как-то помочь Или в расте такие же дыры , Аноним, 05-Июл-22, 14:06 (54) //
- От ошибок в бизнес-логике раст тоже не защитит Только от гонок и некоторых видо, Аноним, 06-Июл-22, 03:25 (57) //
  - Пока вебрендера не было, синхронизация вкладок не отваливалась , Аноним, 06-Июл-22, 03:47 (58) //
    - Ратс не нужен забудь про него плз , Аноним, 06-Июл-22, 17:45 (60)
      - Так его так и не доснимали же , Аноним, 07-Июл-22, 14:49 (65)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру