SouthPark a déjà prédit comment ça allait se passer :/
Kochise
Si Dieu m'a de nouveau fait homme, cette fois il m'a pas raté : marcher sur l'eau et dupliquer les pains, ça marche p'us :/
aaah ! it was an ectoplasm !!!
HURRRR !
étrange car youporn à dégagé complètement mysql depuis qq jours, anapu possible les injections tout ca ^^
et la le mec il le pécho par le bras et il lui dit '
Zeph Le 22/02/2012 à 17:03 y'a d'autres failles que les injections, et MySQL n'en a pas le monopole de toutes façons ^^
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
c'est sur mais avec un truc nosql t'est bien plus en sécurité tout de même
et la le mec il le pécho par le bras et il lui dit '
vince Le 22/02/2012 à 17:08 ouais, faut tout gérer dans user.xml
Zeph Le 22/02/2012 à 17:10 Du strict point de vue "injection", la sécurité est uniquement liée au protocole, peu importe que ce soit du SQL, du NoSQL, ou n'importe quoi d'autre. Accessoirement tu ne peux pas arbitrairement remplacer tes bases SQL par du NoSQL, puisque comme leur nom l'indique ça n'est pas la même chose (et donc pas fait pour faire la même chose, et donc pas interchangeable).
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez
par ici :)
Le problème à l'origine des injections SQL c'est pas que ce soit facile de récupérer des données, c'est que le SQL utilise par défaut de l'in-band signaling (pas de séparation entre les commandes et les paramètres, les deux sont mélangés au sein d'une même chaîne). Avec des requêtes paramétrées ce risque n'existe pas.
—
Zeroblog —
« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » —
Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » —
GT Turboavec un stylo plume j'écrit mon nom, avec un stylo à bille aussi
seulement le stylo plume peu baver aussi (faut pas oublier l'effaceur de "), il est plus compliqué car il faut le recharger, et écrire avec est plus long.
avec un vélo je peu aller au travail, avec le bus aussi
seulement avec le vélo je peu crever (à cause des " sur la route), je vais arriver en sueur, et le trajet sera plus long
il faut arrêter de voir le nosql comme une version allégé et sans fonctionnalité d'une base de donnée, c'est loin d'être le cas
il faut arrêter aussi de penser que c'est seulement pour des GROS truc ayant besoin d'un max de vitesse
c'est simplement une manière de stocker des données, une manière simple, rapide et très fonctionnelle, qui évite par sa simplicité pleins de choses comme justement les injections et apporte également beaucoup
pourquoi dire à ta base va me chercher l'user dont l'id est 4224 alors qu'on peu dire donne moi le contenu de "monsite:mesusers:4224" ?
c'est de la paraisse ? du masochisme ?
pourquoi galérer avec des tables prédéfinis avant de coder ou quant on doit rajouter un champs on doit reverifier l'intégralité des requêtes concernant cette table, alors que de l'autre coté on peu avoir des tableaux associatifs, de taille max 2⁶⁴, ou rien n'est obligé d’être figé ?
tu veut faire un facebook, le mec se décrit, choisi parmis une liste de 300 type de caractéristique, tu fait comment avec ton sql ? ta mis 300 champs dans la table ? non, tu va certainement creer une seconde table avec l'id de l'user, un champ caracteristique, et un champ valeur, ensuite pour recuperer ca tu va faire une requette de malade pour lier les tables entre elles
ici tu met seulement les carac que le gars remplis reelement, dans un hash tout con de ta table, pour recuperer le tout hgetall("monsite:mesusers:4224"); et tu recevra la fiche complète sans rien faire d'autre ...
pourquoi demander à ta base de recuperer la liste complete des users, select id from users where 1; quant tu as la possibilité de gérer des listes et d'en récupérer le contenu ?
pourquoi galérer à mettre en place un cron pour nettoyer ton sql des demande de récupération de password expirés alors que tu peu indiquer de l'autre coté qu'une clef va vivre n secondes et qu'ensuite elle sera détruite sans que tu ai qq chose à faire ?
ce n'est pas car l'on reviens à la simplicité que ce n'est pas fonctionnel, la voie prise étais peut 'être mauvaise depuis des années...et la le mec il le pécho par le bras et il lui dit '
(gg les mails en prénom.nom@provider ^^)
) la requète de malade, là encore, çe se simplifie avec les ORB ou alors plus encore en allant chercher dans les procédures stockées si c'est complexe ou dans les vues sinon...
)
)
