вадяhVosttЯ тебя всего лишь просил привести какие-то доказательства твоих же утверждений. Тебя тоже за твой болтливый язык никто не тянул. Где эти доказательства? 20769243

Я вовсе не упёртый, я просто не увидел твоих доказательств относительно того, что хранимые процедуры защищают от инъекций, а обычный вызов SQL с параметрами такой защиты не имеет.

ShSergeЕсть возможность в вызове написать sql-injection. В вызове процедуры - нету. Кстати, в MS SQL для таких штук имеется х-ая процедура sp_executesql. ;)

На дворе какой век? Покажите человека, который SQL формирует конкатенацией, и дайте забьём его камнями, как это положено в светских государствах?

Нет никакой разницы, что процедуру вызываешь, что обычный SQL с параметрами, одинаково защищены от инъекций.

Отсюда сыр-бор, что вадя не умеет работать с параметризованными запросами.

вадяShSerge,
вот где классный :)
http://www.sql.ru/forum/1261862-1/lokalnaya-set-web-brauzer-ili-desktop

Места твоего позора показываешь ))

вадяесли для тебя нет рпзницы мкжду хрвнимкой и запросом с параметрами - это проблемы твоего слабоумия.
хорошо хоть признадся что хранимки защищены от инъекций, уже прогресс

Где я написал, что нет разницы между хранимкой и запросом с параметрами?

Трепло, ты и в африке трепло.


вадяхорошо хоть признадся что хранимки защищены от инъекций, уже прогресс

Я сказал, что разницы никакой нет, защита от инъекций заключается в передаче данных в запрос через параметры. Не важно что это, SQL-запрос или хранимка. Ты конкретный тупица, с "широтой взглядов" уровня школоло первого класса.

вадяну и дурак же ты после этого.

Может ты и прав. Надо быть дураком, чтобы дискутировать с тупицей вроде тебя.

вадяhVosttМожет ты и прав. Надо быть дураком, чтобы дискутировать с тупицей вроде тебя.хорошо , что признаёшь. это уже путь к поумнению. умные уже почитали мануалы и с перестали нести ерунду . а дурак продолжает спорить.

Тебе важно, чтобы с тобою согласились, даже если согласие означает, что ты тупица

вадяты просто не понимаешь, что такое хранимка.

Куда уж мне

вадяу каждой хранимки есть входные параметры, и их тип задается при создании хранимки. и при вызове хранимки , параметры из строки вызова передаются в хранимку, и если типы переданных и заданных параметров не совпадают - хранимка просто не запустится , будет выброшено исключение. поэтому передача параметров, как в параметризованном запросе, это масло масленное, бессмысленные строчки.

А как насчёт того, что некий метод на Java или C#, который делает нужные запросы, просто даже не скомпилируется, если в ты метод попытаешься вызвать неправильно, не правильные параметры передашь или типы? Это к слову, о защите, про которую ты с городостью говоришь.

Только ты делал акцент, что для защиты от инъекций надо использовать хранимки. И сыр-бор пошёл с этого.

вадязапросы бывают из 10+ таблиц, с кучей джойнов, с подзапросами. с группировками.
текст такого запроса может быть 2-3 экрана монитора.

И зачем такой запрос нужен? Зачем его писать вручную и отлаживать? Как будто заняться больше нечем :)

К слову, ORM-ы могут генерировать запросы из 100+ таблиц, и текст такого запроса может быть десятки экранов мониторов. Ты такой запрос никогда не отладишь


вадяи если такой запрос писать в ide, не приспособленной для работы с sql кодом, это чистая морока.
в ide - (к примеру DbForge) есть инструменты для ускорения работы - спецформатирование, гуи для построения сложных запросов, проверка синтаксиса, быстрый запуск. для хранимок - пошаговый дебаг.

Ну я пользуюсь SSMS и DbForge и DataGrip. В основном для исследовательскиз целей и анализа данных.

Для ускорения работы надо автоматизировать свой труд, например, не писать SQL запросы вручную, а генерировать их. Вот это я понимаю, ускорение. А дать более удобную лопату взамен неудобной, это так себе прогресс

Программист, не умеющий автоматизировать свой труд, это очень сомнительный специалист. Походу он только косит под программиста

вадяты такое спроси в ветке mssql

Ну я тебя спрашиваю. Чё ты за веткой прячешься.


вадямогут, но это будет не так эффективно, как составит специалист по конкретной субд.

У нас все запросы генерируются и всех устраивает, всё работает быстро и эффективно. Кто ж виноват, что ты заточен на работу, с которой справится даже обезьяна и не можешь автоматизировать свой труд?

вадяя сказал, что это один из поводов использовать хранимки.

Ты просто не умеешь пользоваться параметрами, поэтому для тебя это целый повод.


вадяни один генератор не способен сгенерировать то, что может написать человек. пример такого запроса я привел. я видел попытки знатока orm который пытался получить этот результат на java без хранимки. количество кода было огромно, соответственно и время выполнения. когда этот результат был получен только хранимкой - он был удивлён.

Спор бесмысленный, на фоне того, что ты не умеешь автоматизировать свой труд, не умеешь пользоваться различными инструментами, смог осилить только dbForge, и всё. Это твоя лопата. Херачь дальше свои хранимки и запросы, у нас их тысячи, мы могли бы тебя нанять, но ты будешь писать и отлаживать их до второго пришествия.

Cyrax_02Он не то, чтобы не сталкивался со сложными запросами, он и понятия не имеет, что есть такая вещь, как ручная оптимизация запросов (в т.ч. с использованием индивидуальных особенностей СУБД). Создаётся впечатление, что работает он с CMS типа Joomla или Drupal, а разработку сайтов ведёт с помощью мышки. Тыкнул сюда, тыкнул туда и сайт готов. " Все запросы генерируются, всех устраивает ".

Трепло решил пофантазировать