Сomparison-line Голосов: 1 Адрес блога: http://comparison-line.ru Добавлен: 2010-11-26 13:42:23 блограйдером kottx

SQL-операторы

2013-08-16 12:52:35 (читать в оригинале)

Фактически каждое приложение СУБД создает SQL-операторы динамическим образом. Если вы создаете какую-либо часть SQL-оператора, конкатенируя строки или интерполируя переменные в строки, то оператор потенциально подвергает ваше приложение динамическим атакам, называемым инъекцией SQL-кода. Торжественная свадьба от Apelcin Wedding Company — это всегда оригинальная свадьба с розыгрышами для вас и гостей. ПРАВИЛО № 31: ПРОВЕРЬТЕ ВАШЕ СИДЕНЬЕ [...]

---

Инъекция SQL-кода

2013-08-16 12:47:44 (читать в оригинале)

После того как я провел презентацию каркаса доступа к данным, который я разработал, член аудитории подошел ко мне и задал вопрос: «Предотвращает ли ваш каркас инъекцию SQL-кода?». Я ответил, что она предоставляет функции для заключения строк в кавычки и использования параметров запроса. Молодой человек выглядел озадаченным. «Но может ли она предотвратить инъекцию SQL-кода?» — повторил [...]

---

Использование хранимых процедур

2013-08-16 12:46:06 (читать в оригинале)

Использование хранимых процедур — еще один метод, доказывающий утверждение многих разработчиков программного обеспечения о том, что он защищает от уязвимости инъекции SQL-кода. Как правило, хранимые процедуры содержат фиксированные SQL-операторы, анализируемые, когда вы определяете процедуру. Однако использовать динамический SQL-код в хранимых процедурах может быть опасно. Читайте последние новости и отзывы о компании Каргохим здесь: Темрюк Каргохим [...]

---

КАКОВ БЫЛ МОЙ ПОЛНЫЙ ЗАПРОС?

2013-08-16 12:42:19 (читать в оригинале)

Многие полагают, что использование параметров SQL-запроса является способом автоматического заключения значений SQL-оператора в кавычки. Это утверждение не является точным, и размышление о параметрах запроса приводит к непониманию того, как они работают. Сервер РСУБД анализирует ваш запрос в то время, как вы готовите запрос. После этого ничто не сможет изменить синтаксис этого SQL-запроса. Вы задаете значения [...]

---

Поддержка предиката

2013-08-15 20:13:29 (читать в оригинале)

Работа с предикатом освободит вас от написания громоздких выражений, предназначенных для тестирования is NULL, перед началом сравнения со значением. Следующие два запроса эквивалентны: Файл примера: Fear-Unknown/soln/is-distinct-from.sql SELECT * FROM Bugs WHERE assigned_to IS NULL OR assigned_to <> l; SELECT * FROM Bugs WHERE assigned_to IS DISTINCT FROM 1; Вы можете использовать этот предикат с параметрами [...]