Zelf SQL-opdracht in elkaar sleutelen bij zoeken

Te ingewikkeld voor de meeste gebruikers...

dan ligt die database zo plat

wel grappig voor degene die SQL kunnen, maar voor de rest te ingewikkeld lijkt me..

Iedere internet gebruiker ff een cursusje SQL voordat ze een normaal resultaat uit een dbase kunnen plukken

hmm, ik vind het leuk bedacht maar je kan dan toch beter zelf de mogelijkheden aangeven i.p.v iemand z`n eigen sql instructie te laten tikken.

En als je de mogelijkheden aangeeft dan ben je gewoon de volgende google of altavista...

Op donderdag 29 november 2001 18:57 schreef laupro het volgende:
Dan maak je een beveiliging dat je 'opdrachtenreeks' niet langer dan 400 tekens ofzo mag zijn, want als je zeer complexse opdrachten maakt kan het uitvoeren enkele seconden duren...

Mwoah. select bla from bla where bla like '%a%' is erg kort, en behoorlijk zwaar hoor. De lengte is niet echt interessant.

Maar gewoon +, -, AND, OR, (), enz bij de search zou wel handig zijn.

(trouwens.. enkele seconden? maak daar gerust enkele minuten of nog meer van.. het gaat hier niet om een db'tje met 1000 rows hoor)

Volgens mij kun je bij MySQL precies instellen wat voor opdrachten wel en niet mogen. Geen DELETE of DROP commando's toelaten dus, maar alleen het SELECT statement dus. Dan lijkt het me best een goede optie, zeker omdat * MisterData kan goed emt SQL overweg. Heb laatst nog een remote database tooltje geschreven, maar da's off-topic

SELECT * FROM posts WHERE forum = '17'

Lijkt me dus geen strak plan om zo'n search te maken

SELECT session_id, user_id FROM sessions as s, users as u WHERE u.user_name="HlpDsK" AND u.user_id=s.user_id

Zoiets dus.....

Op donderdag 29 november 2001 22:32 schreef MikeN het volgende:
SELECT session_id, user_id FROM sessions as s, users as u WHERE u.user_name="HlpDsK" AND u.user_id=s.user_id

Zoiets dus.....

En dan? Je kunt er helemaal nix mee.

Voor iedereen die denkt meteen misbruik te kunnen maken van het geheel. er zijn dingen in MySQL die wel redlijk ok geregend zijn. Zo kan keurig worden aangegeven welke tabbellen een bepaalde user mag zien en welke niet. Ik dacht dat het zelfs ook nog op column-niveau kon, maar dat weet ik niet zeker.

Op donderdag 29 november 2001 23:45 schreef freak007 het volgende:
Ik dacht dat het zelfs ook nog op column-niveau kon, maar dat weet ik niet zeker.

Dat kan.

Op donderdag 29 november 2001 18:59 schreef Onno het volgende:
(trouwens.. enkele seconden? maak daar gerust enkele minuten of nog meer van.. het gaat hier niet om een db'tje met 1000 rows hoor)

En naast de slechte veiligheid is dit een van de belangrijkste redenen waarom ik (en ik neem aan de rest van de crew met mij) het niet eens overweeg.

Tuurlijk kan je proberen te vertrouwen op het rechtensysteem van mysql, maar voorkomen is beter ...

De searchengine werkt dan ook niet direct op de message-table (misschien indirect, maar niet direct).

Op zaterdag 01 december 2001 00:16 schreef laupro het volgende:

[..]

Ik kan hier natuurlijk wel volop tegenin gaan maar daar bereik ik niks mee, dus: ik ben het wel met je eens maar is het dan niet de moeite waard om het te proberen?

Gebeurt toch niet, als zou gebeuren, dan kan iemand met z'n F5 knoppie heel got platleggen

SELECT * FROM OCM, LA, HW

Code #1234: I'm sorry Dave, I'm afraid I can't do that...

Op zaterdag 01 december 2001 00:16 schreef laupro het volgende:
maar is het dan niet de moeite waard om het te proberen?

Ik denk dat je het niet helemaal snapt/de inpact overziet.

Als ik nu iets opzoek in de messages (net doende of ik DBA ben en iets uit moet vogelen) dan willen die queries nog wel een minuutje of 3 duren...

Als er een paar users (stuk of 5) tegelijk zo'n soort query uitvoeren zal het nog meevallen, maar als er wat meer (stuk of 15) zoiets uitvoeren ligt de site waarschijnlijk al grotendeels plat.

Als er dan iemand zo handig is er een script omheen te bouwen (en dat kan altijd, zeker in geval het HTTP protocol dat is tenslotte stateless) dat er gelijk maar 30-50 afschiet hebben we een groot probleem.

Oftewel, we stellen ons open voor een extreem makkelijke manier van DDoS-ing dan.

Daarnaast is de search in zijn "huidige, simpele" vorm al erg zwaar, waarbij er al geen like-searches meer gedaan worden.

Dan zijn er nog wat nadelen aan, in principe is de DB-layout van GoT (hoe standaard zoiets ook moge zijn) beschermd door de copyrights die android erop heeft, waardoor we de DB niet eens _mogen_ openstellen.

True. Zie de bezwaren genoemd in de andere replies hier. Het wordt ongetwijfeld 1 grote bende als iedereen toegang krijgt tot de DB door zelf query's op te kunnen geven.

* Pelle zag laatst wat klasgenoten kloten met Ingres
De carthesische producten vlogen je om de oren... en als er hier dus 3 minder ervaren mensen een query bouwen als select * from replies,users, dan kun je wel dag zeggen tegen de performance van de GoT-servers.

Op zaterdag 01 december 2001 02:59 schreef Pelle het volgende:
en als er hier dus 3 minder ervaren mensen een query bouwen als

En dan is het nog niet zo erg als onervaren personen dat doen, maar als meerdere _ervaren_ personen dat express gaan doen, dan heb je nog een veel groter probleem.
(die weten het vast nog wel ernstiger te joinen
iets als: select * from messages, topics, users, forums is nog even ietsje ernstiger )

Het eerste wat ik doe is alle tabellen met elkaar joinen in m'n SQL queries. Zal een lekkere server load geven

Op donderdag 29 november 2001 22:57 schreef hdd het volgende:

[..]

En dan? Je kunt er helemaal nix mee.

Dat prop je in een cookie en tadaa, je kunt posten onder HlpDsK 's naam.......

_{Beetje late reactie}

Op zaterdag 01 december 2001 23:24 schreef MikeN het volgende:

[..]

Dat prop je in een cookie en tadaa, je kunt posten onder HlpDsK 's naam.......

_{Beetje late reactie}

Wat een moeite om onder HlpDsK's naam te posten .. krijg je soms orgasme van ofzo om onder zijn naam te posten Ik zie het nut er niet van in..

Nu komt zeker het antwoord "Het was maar een voorbeeld dat je dan onder andermans naam kan posten", maar waarom HlpDsK nu weer?

wat misschien slimmer is is om de searchpagina zo te herschrijven dat je bijv. de search meerdere "and"/"or" criteria kunt geven, op die manier kan je searchopdrachten vele malen nauwkeuriger formuleren en voorkom je dat mensen zelf de meest onzinnige opdrachten gaan schrijven (btw; hoeveel procent van de tweakers weet uberhaupt hoe een sql querie eruit ziet?)

overigens; het argument dat mensen scriptjes zouden kunnen gaan schrijven met eigen sql queries snijdt geen hout; je kunt net zo makkelijk de search pagina daarvoor gebruiken

Op zaterdag 01 december 2001 23:40 schreef hdd het volgende:

[..]
Nu komt zeker het antwoord "Het was maar een voorbeeld dat je dan onder andermans naam kan posten", maar waarom HlpDsK nu weer?

[offtopic]
Het was maar een voorbeeld dat je dan onder andermans naam kan posten.
Waarom HlpDsK? Och, omdat hij één van de bekendste GoT users is. Had ook wel hdd kunnen neerzetten, maar wat heb je daar nou aan, dan heb je geen rechten niks...
* MikeN had misschien beter een adje kunnen nemen, daar kun je nog meer mee

Op zaterdag 01 december 2001 23:40 schreef hdd het volgende:

[..]
maar waarom HlpDsK nu weer?

Vreemd dat je daarover begint, maar ik ga er toch even op in:
HlpDsK is toch 1 van de bekentste users hier. Dus ligt het snel voor de hand zijn naam te gebruikens als voorbeeld. Wat is er mis mee???