Изпечатай

[Acho]

Ами тия нашите (не само този, ами и разни други) форуми не ползват ли SQL бази данни ?

[go_fire]

Продължават да си съществуват. Както разбираме от коментарите под новините, легенди като слакера Сотиров разказват, че никога не са били в по-добро здраве. Харчат се луди кинти за „ваканцуване“¹. А това значи, че продажбите са добри.

Но във времената на софтуерните услуги², службите за съхранение все повече се отдалечават от този класически, академичен подход. Трябва да се каже, че това не изключва автоматично доставчиците им. Например за мъсял и постгрес от много години знам двигатели, които не са върху свързаната³ парадигма.

Но, както споменах и в предния си коментар, това е страничен въпрос.

Оставяйки си в тази парадигма, която все още си е сравнително широко прилагана, то казах, че вече никой не пише директно SQL. Дали ще е ORM или някаква по-проста междинна абстракция, няма никакво значение. Отдавна мина времето, когато това можеше да се прави.

А с този факт и инжекциите останаха в историята. Забележи, че такива все още се появяват регулярно. Миналата година беше ударен самия Мъсял. И не му беше сефте. Но всички те са на наследени системи. Системи, които просто си „работят“ и чакат закриването си или пълната си подмяна.


п.п. Ачо разбира се, че това е вярно. Но мястото на системи като Phpbb, SMF, Joomla, Drupal, e107, Typo 3, Tikiwiki и подобни е в третата графа на отговора ми.




-----
¹/ Популярен нео-термин роден от родната политическа класа;
²/ Напоследък рекламирани като облаци и други климатични явления;
³/ По-известна като релационна.

[spec1a]

   Това,че разработчиците понякога не пишат директно SQL код,не
означава,че с-мите за защитени от "SQL Injeсtiоn".
   Така или иначе си има база данни, работеща "на заден план",
уеб форми, в които се попълва текст (защо тези текстови полета са
слабо място,мисля,че няма нужа да обяснявам), и т.н.
   Споменал си ORM, тъй като имам известен опит с Hibernate (Java),
всъщност има индиректно преобразуване до SQL заявки(е, вярно,че
разработчика не пише SQL код), и съотв.се прави обръщение към
базата данни.
   

[go_fire]

Каква ще е абстракцията няма особено значение. Дали ще е пълен ORM или нещо по-просто (спомням си едно TSQL дето се пише почти като SQL) все опира до концепцията за подготвени заявки (prepared statement). При нея код и заявка се изпращат отделно и ясно отличими, така, че няма как нещо, което се очаква да е данни да се изпълни като код. Това прави инжекциите невъзможни. Съществуват някакви теоретични, двоични инжекции, ама на практика май никой не ги е постигал. Поне аз не знам.

Завиждам ти,че си се докосвал до класиката — Хибернация. Най-доброто, което аз съм пипал е Доктрина (Doctrine). Това е за PHP.

[spec1a]

   Ами всъщност предпочитам аз да си пиша SQL заявките (JDBC).
   Относно Hibernate: просто ми се наложи да пиша такъв код(не
по мое желание); а и това беше преди време.