SQL injection is net zo generiek als SQL en maakt geen onderscheid tussen databases:
offtopic:
Het topic gaat over mysql, en je wist best van het bestaan van de mysqli functies af, maar toch moet je per se naar de goede set Postgres functies linken. Zo kan ik ook zeggen dat mysqli beter is dan pg_query, makkelijk scoren...
Anoniem: 28958
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Noem eens 1 taal waarbij dit niet zo is?
) maar in de basis is het niet beter/slechter dan een andere taal.
Goed voorbeeld, ziet er heel volwassen uit ja
Hoeveel major websites draaien daar op?Most attacks, dus 100% veilig is het niet... verdorie, moet ik als developer toch nog gaan opletten.
1
2
3
4
5
6
7
8
| $code = 'DEU'; $language = 'Bavarian'; $official = "F"; $percent = 11.2; $stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)"); $stmt->bind_param('sssd', $code, $language, $official, $percent); $stmt->execute(); |
1
2
3
4
5
6
7
8
| $calories = 150; $colour = 'red'; $sth = $dbh->prepare('SELECT name, colour, calories FROM fruit WHERE calories < :calories AND colour = :colour'); $sth->bindParam(':calories', $calories, PDO::PARAM_INT); $sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12); $sth->execute(); |
[ Voor 52% gewijzigd door Cartman! op 16-11-2011 09:07 ]
Waarom vind jij ze simpeler in pg_query_params dan in mysqli_bind_param?
Waarom vind (of noem) je ze überhaupt lastig? Ik ga niet ophouden met stellen dat prepared statements zo simpel zijn, domweg omdat ze zo simpel zijn.Komt het genoeg voor om de mensen die wel weten wat ze doen te limiteren? Want je suggereert zelf al dat de bedrijven voorlichten om betere keuzes te maken wanneer het over het ontwikkelen van software gaat er als oplossing niet in zit. Dan blijft alleen de toolset aanpassen over als oplossing, en dat kun je niet doen zonder bestaande software te breken.
Nee, een zwakke vergelijking van jou. Auto's hebben inderdaad veiligheidssystemen, maar een programmeertaal heeft die net zo goed. PHP heeft mysql_real_escape_string, open_basedir, en zo nog talloze andere beveiligingssystemen. Het is vervolgens aan de gebruiker om ze te gebruiken, net zoals het aan de gebruiker is om zijn gordel om te doen en zijn remvloeistof te controleren als er een lampje gaat branden.
C# heeft zijn eigen set met problemen, net zoals Java dat zal hebben. Geen enkele mainstream taal is substantieel veiliger dan een andere.
Gelukkig noem je daar een belangrijke taal die wereldwijd door miljoenen programmeurs wordt omarmd als dé oplossing voor alle gebreken in andere programmeertalen. Nog naast het feit dat ik niet geloof dat in deze taal niet ook dergelijke fouten gemaakt kunnen worden. Een programma is net zo goed als de programmeur en diens oplettendheid. Als je aanneemt dat je toolset al je problemen oplost voor je dan faal je als ontwikkelaar.
Dat is een keuze van PHP, niet van MySQL. Er is geen enkele reden waarom PHP dat niet op dezelfde manier zou kunnen implementeren als de Postgre-variant. Waarom ze gekozen hebben om dat niet te doen durf ik niet te zeggen, al vermoed ik dat dat met geheugenmanagement te maken heeft, wat dan waarschijnlijk met je datatypenverhaal samenhangt. Tóch vind ik niet dat de manier van werken met prepared statements nou zo lastig is dat een beginner er niet uitkomt.
Fijn dat je dat in elk geval inziet.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Ik geloof meteen dat de driver die MySQL aanlevert deze functionaliteit ook in een vergelijkbare vorm aanbiedt. Maar dat betekent natuurlijk niet dat PHP dat dan één op één door moet geven via dezelfde API. Ze hadden ervoor kunnen kiezen om een functie te maken die onderwater al die calls afhandelt en vervolgens een interface biedt die lijkt op die van Postgre. Dat ze dat niet gedaan hebben lijkt me de "schuld" van PHP en niet van MySQL, in zoverre er überhaupt een schuldvraag is voor een designkeuze.
Ik vermoed dat dat hiermee te maken heeft:
Ik denk dat dat wel meevalt. De meeste mensen die prepared statements gebruiken, doen dat vanwege het bijkomende voordeel dat het SQL-injectie voorkomt. Ik durf te stellen dat de meest voorkomende antwoorden op de vraag "Waarom gebruik je prepared statements?" zouden zijn "Ik gebruik geen prepared statements" en "Om SQL-injectie tegen te gaan" als ik deze vraag in Programming zou stellen. Juist omdat mensen het doen om SQL-injectie te voorkomen zal het veel bekender zijn dan je denkt.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Dat zou best kunnen, maar is wel een totaal ander beeld dan wat ik in mijn dagelijkse praktijk tegenkom. Wanneer ik bij een klant voor het eerst binnenkom en vraag of ze prepared statements gebruiken, kijken ze mij 9 van de 10 keer appelig aan omdat ze geen idee hebben waar ik het over heb. En dat kom ik tegen bij Java, .NET en PHP mensen, zit geen onderscheid in.:
Ik durf te stellen dat de meest voorkomende antwoorden op de vraag "Waarom gebruik je prepared statements?" zouden zijn "Ik gebruik geen prepared statements" en "Om SQL-injectie tegen te gaan" als ik deze vraag in Programming zou stellen. Juist omdat mensen het doen om SQL-injectie te voorkomen zal het veel bekender zijn dan je denkt.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Maar waarom denk je dat iemand die pg_* gebruikt ineens wel met prepared statements zou werken en niet als iemand mysql_* gebruikt? Iemand die van het bestaan af weet en niet lui is zal ze toch wel gebruiken of het nu een paar regels meer tikwerk is of niet.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Waarmee we dus terugkomen op het punt dat alles staat of valt met de discipline van de individuele programmeur.
Ik denk dat zijn punt is dat je op dezelfde manier ook bij de MySQL-variant uitkomt.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Gelukkig dat iemand het begrijpt:
[...]
Ik denk dat zijn punt is dat je op dezelfde manier ook bij de MySQL-variant uitkomt.
LINQ (en aanverwanten) bedoel je? Dat is op zich een leuke oplossing voor nieuwe projecten, maar bestaande projecten aanpassen om daar gebruik van te maken zal niet altijd even makkelijk zijn. Ik vind zelf LINQ niet echt handig uitzien, maar dat zeg ik als iemand die er nooit mee gewerkt heeft. Edit: ik heb het nog eens opgezocht en beter gekeken, dat ziet er wél verdomd handig uit.
Ik zie er wel de voordelen van in. Maar uiteindelijk is ook LINQ weer een kwestie van waar de programmeur voor kiest. Een programmeur die niet bewust voor prepared statements kiest zal ook niet ineens voor LINQ gaan kiezen zonder de juiste incentive.
[ Voor 7% gewijzigd door NMe op 16-11-2011 17:47 ]
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Anoniem: 28958
Moet ik hier nu serieus een discussie mee gaan voeren? Het lijkt me zeer onwaarschijnlijk dat je ook maar het kleinste idee hebt van wat die techniek inhoudt. Die miljoenen programmeurs waar je het over hebt (en die je blijkbaar als autoriteit ziet), zullen allemaal dan wel het IQ van een aap hebben. :
[...]
Verder is OPA iets wat pas sinds halverwege dit jaar verschenen is; juist ja. Ik zeg niet dat 't geen serieuze kandidaat zou (kunnen) zijn voor het één-of-ander maar ik zou me toch zeker 2 keer bedenken als ik er zakelijk mee aan de slag moest. En heel OPA's "DB" staat nog in de kinderschoenen; ik mag hopen dat je dat niet serieus neemt als we dan toch zo aan de gang gaan.quote: http://opalang.org/faq.xmlt
[ Voor 45% gewijzigd door RobIII op 16-11-2011 21:01 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Nee, je zei namelijk helemaal niets. Je postte enkel een link.
Jeej OPA! 
Welke details? Je postte een link.
PHP is veel organischer gegroeid en ik zal de laatste zijn die PHP verdedigt (en dat ga ik dan ook niet doen) maar er zijn zat talen waar "engineering achter zit" en stuk-voor-stuk kun je er fouten in maken als je er onkundige mensen mee aan 't werk zet. En nee, dan bedoel ik met 'onkundig' niet iedereen die geen universitaire graad heeft.
[ Voor 25% gewijzigd door RobIII op 16-11-2011 21:15 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Anoniem: 28958
Nee, hoor je zei dat je het niet voor zakelijke doeleinden wilde inzetten, met daarmee dus als suggestie dat ik het tegenovergestelde zou hebben gezegd, maar zoals je correct opmerkt, heb ik dus niet zo veel gezegd.
Je hebt nu dus precies mijn voorbeeld over de database genegeerd. Ik kan me zo voorstellen dat er wel eens verwezen wordt naar een database veld dat niet bestaat waardoor op een willekeurig moment je website niet werkt, of je verwijst naar een veld dat niet bestaat. Ik bezoek elke week wel een website waar ik null pointer exceptions zie of dit soort fouten. Dus dat zijn geen ingebeelde problemen.
Oh wacht. Er zijn nog ongeveer een half miljard andere talen waarin dat ook niet (of verdomd moeilijk) voorkomt. En dan nog even de 2418 andere soorten vulnerabilities zien af te dichten die je in veel gevallen niet eens kunt oplossen in een taal/specificatie/whatever om-dat men-sen fou-ten ma-ken en daar geen taal te-gen op-ge-was-sen is.
Het zou je niet misstaan om eens met wat minder minachting voor anderen te reageren en wat meer in lijn met realiteit te denken.
[ Voor 18% gewijzigd door RobIII op 16-11-2011 21:42 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Anoniem: 28958
De implementatie is niet flawed, omdat deze maar 500 regels code is en hiermee al miljoenen regels code mee zijn gecontroleerd. Je kunt hoogstens een fout maken in de specificatie van een veiligheidseigenschap, maar ja, als je niet eens op kunt schrijven wat je wilt (dus niet hoe!), dan kun je maar beter stoppen.:
Je hebt alleen geen f*ck aan je wiskundig bewijs als de implementatie flawed is en omdat mensen implementaties doen zijn deze vatbaar voor fouten. Maar goed, terwijl jij lekker met je wiskundige modellen aan 't spelen bent zijn "wij in the trenches" bezig met getting stuff done
Feit is dat ze dat niet gedaan hebben.
Deze hele thread gaat over SQL-injectie en als grote oplossing voor dat probleem noem je een taal zonder ANSI SQL-support of zelfs maar support voor een andere databasevendor dan hun eigen proprietary product. Hoe is dat precies relevant in deze thread, in welke vorm dan ook?
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Vandaag nog niet zo'n goede grap gehoord, kan er smakelijk om lachen.
http://coq.inria.fr/
Je beseft toch wel dat 't idee is dat er uiteindelijk ook een product opgeleverd moet worden voor de klant hé? En als 't effe kan gisteren.
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Anoniem: 28958
Het punt is dat als je een beetje een fatsoenlijke ontwikkelaar bent, dat je dan dus zelf een SQL backend kunt bouwen voor Opa. Waarom kan dit in Opa en niet in PHP? Dat komt, omdat het row variables (uit de type theorie) heeft. Dat ik dit allemaal al moet voorkauwen geeft aan dat niemand er serieus naar heeft gekeken.:
[...]
Vandaag nog niet zo'n goede grap gehoord, kan er smakelijk om lachen.
Maar, hoe wil je nu (nadruk op nu) SQL injection voorkomen op een SQL database? Want daar gaat het topic over. Dat in de toekomst alles beter zal worden, dat weten we wel maar hebben we nu alleen niets aan.
En helaas, mijn OPA ligt al op het kerkhof
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Met nog geen 1000 posts in 10 jaar heb je behoorlijk wat toegevoegd aan GoT, chapeau
Als je echt zo goed bent als je zelf beweert bouw je die 100% veilige taal toch zelf wel even? Dan kunnen we hier echt iets leren.
Dus je hebt een programmeur die geen rechten heeft om de database aan te passen, en geen DBA die dat voor de programmeur kan doen. Wie mag dat dan wel nog? Het maakt niet uit wie het doet, maar iemand moet die rechten hebben, en die ene persoon kan de zaak verknallen.
Wou je wedden? Als ik in PHP een veld aanspreek dat er niet meer is, dan krijg ik een dikke error. Jij krijgt die error in OPA terwijl je compileert, ik pas terwijl ik run. Maar dat is gewoon de aard van het beestje. Als er geen compile time is dan kun je dan ook geen fouten opgooien. Maakt de taal nog niet inferieur.
Gelukkig blijf je er bescheiden onder.
[ Voor 14% gewijzigd door NMe op 16-11-2011 22:27 ]
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Nee, het probleem is je totale gebrek aan realiteitszin en daar ga ik het in ieder geval bij laten.
Ook alleen als je OPA's (poor excuse for a) "DB" gebruikt. Omdat de "DB" mee-compiled in het project
Zo kan ik 't ook. Als je OPA aan een bestaand RDBMS zou koppelen (eender welk) heb je exact hetzelfde probleem. En daar gaat compile-time of niet geen zak aan helpen. Compile je project, draai 't vrolijk en wijzig dan een veld van type: *boem*. Maar nee, dat gebeurt natuurlijk nooit want niemand kan een veldtype veranderen
[ Voor 93% gewijzigd door RobIII op 17-11-2011 02:54 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Anoniem: 28958
Er bestaan al meerdere van dit soort 100% veilige talen waarvan Coq het verste is ontwikkeld.:
[...]
Met nog geen 1000 posts in 10 jaar heb je behoorlijk wat toegevoegd aan GoT, chapeau
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Iemand heeft de rol van DBA nodig en dus is er altijd iemand die iets kan doen waardoor jouw applicatie niet meer werkt. Daarnaast is er nog altijd minimaal 1 backup van deze persoon, heb je in jouw wereld al twee problemen te pakken die je zeker niet kunt oplossen door ze te ontslaan.
Geen idee in welke wereld jij leeft, maar dit gaat nergens meer over. Ik heb hier 500 applicaties staan die met één database kletsen, daar gaat met enige regelmaat iets fout. Voornamelijk in de testomgeving, maar het gaat wel fout. En dat kan de fout van de applicatie zijn, maar ook van de database. Fouten worden nu eenmaal gemaakt, je hebt er maar mee te leven en dus te accepteren dat op een dag jouw applicatie onderuit gaat.
Hij zal wel moeten als een dergelijke API de enige is waarmee ie kan interfacen met z'n database.
Klopt, what's your friggin point? Ik breng het ook niet als iets nieuws ofzo. Ik zeg hoe een API kan werken die je simpelweg verbiedt foute queries te maken.
Doe niet van die domme aannames en reageer on topic.
En ze doen domme aannames
[ Voor 6% gewijzigd door .oisyn op 16-11-2011 22:37 ]
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Anoniem: 28958
Een methode is om een compiler te schrijven van een live database naar Opa record types waardoor ook dat probleem is verholpen waarin je dan in Opa gebruik maakt van een of andere abstractielaag.:
[...]
Nee, het probleem is je totale gebrek aan realiteitszin en daar ga ik het in ieder geval bij laten.
[...]
Ook alleen als je OPA's (poor excuse for a) "DB" gebruikt. Omdat de "DB" mee-compiled in het project
Ik denk dat 't hoofdstuk "The database" boekdelen spreekt. Of euh... nou, toch wel zeker 3 A4-tjes
[...]
Wat nou "compile-time"?
* NMe proest. Dat is bijna sig-waardig. Launch time en compile time zijn twee substantieel verschillende dingen. De enige reden dat je daar in dit geval geen verschil in ziet is omdat de database meegecompileerd wordt en dus in de goede vorm aanwezig is. Bouw MySQL-support (of een ander DBMS) in en je loopt ineens tegen exact dezelfde problemen aan die PHP heeft.
Klopt, maar een dergelijke stap moet door de hele industrie in één keer gezet worden om écht effectief te zijn. Zie ik niet op korte termijn gebeuren, maar als ik LINQ zo zie dan heeft dat wel de toekomst.
[ Voor 28% gewijzigd door NMe op 16-11-2011 22:44 ]
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
In een paar posts heb je al aangedragen om :
In welke wereld leef jij? Welke klanten betalen hiervoor? Ik ken er namelijk geen één.[ Voor 8% gewijzigd door RobIII op 16-11-2011 22:50 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
"Wat axioma's"
{signature}
Anoniem: 28958
In een betere wereld dan jij blijkbaar:
Nee hoor; ik kom daar iedere nacht ook:
In een betere wereld dan jij blijkbaar
Alleen word ik 's ochtends wakker en jij klaarblijkelijk niet
[ Voor 13% gewijzigd door RobIII op 16-11-2011 22:52 ]
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Anoniem: 28958
Ik weet niet hoelang de implementatie precies duurt. Het ging erom dat het wel mogelijk was. Ik denk overigens ook wel dat het in de categorie 'pokke veel werk' valt.:
[...]
"Wat axioma's"
Alles wat een huidig rdbms (mysql, postgres, oracle, mssql whatever) kan 100% theoretisch beschrijven en valideren is al meer werk dan wat jij in je lifetime kan bereiken. En dan wil ik nog best ruimdenkend doen en er vanuit gaan dat de medische vooruitgang er voor zorgt dat jij minstens de 200 jaar bereikt.
Gelukkig onderbouw je dat zo goed.
Dan is er nog steeds iemand die die wijziging in het systeem moet zetten.
Laat me raden: je doet academisch werk of werkt voor de overheid, waar niet het eindresultaat telt maar het feit dat er aan een project gewerkt wordt? Wij worden in de echte wereld allemaal door onze klanten uitgekauwd als we niet onze deadlines halen of als we twee keer duurder zijn dan onze PHP-gebruikende concurrent.:
[...]
In een betere wereld dan jij blijkbaar
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
Anoniem: 28958
Ik had al eerder gezegd dat je dit ook door een computer programma kunt laten doen. Ik noemde het toen een proces.:
Dan is er nog steeds iemand die die wijziging in het systeem moet zetten.
Het eindresultaat, zoals de reeks van hacks bij weet ik niet hoeveel websites en organisaties? Prachtig eindresultaat.
'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.
There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.
Je eigen tweaker.me redirect
Over mij
Anoniem: 26306
Zonder SQL support ook geen SQL injection toch?
Nou, ik denk dat veel mensen hier van mening zijn dat het merendeel van de vakgenoten beter pinda's hadden kunnen gaan doppen.
Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.
Anoniem: 27535
“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”
Dit topic is gesloten.
/u/107051/jeroenmadtrix60.png?f=community)
:strip_icc():strip_exif()/u/5964/crop56503163e97a5.jpeg?f=community)
:strip_icc():strip_exif()/u/12461/crop65b195553d948.jpg?f=community)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
:strip_exif()/u/47168/loop.gif?f=community)
:strip_icc():strip_exif()/u/110760/ava.jpg?f=community)
:strip_exif()/u/7759/red_cat.gif?f=community)
:strip_icc():strip_exif()/u/6143/rincewind.jpg?f=community)