сложная процедура / Microsoft SQL Server

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / сложная процедура

11 сообщений из 36, страница 2 из 2

все

сложная процедура

#38313132

Maxx

Участник

Откуда: Киев

Сообщения: 24 876

Рейтинг: 0 / 0

кста рабочий вариант от Cygapb-007 ,таки

...

Рейтинг:

0 / 0

27.06.2013, 17:41

| Ответить | Цитировать | Написать

сложная процедура

#38313142

Сергей Викт.

Участник

Откуда: Москва

Сообщения: 888

Рейтинг: 0 / 0

CammomileCygapb-007

объясните, пожалуйста, что случится при вот таком вызове процедуры?

Код: sql

exec addWeight '0,0 truncate table TWeight--', '', ''

Где будет? У нормального архитектора будет permission denied ;-)
Понятное дело, что если у обычного юзера, юзающего процедуру есть права на truncate table, то тут уже вопросы к архитектору..

...

Рейтинг:

0 / 0

27.06.2013, 17:47

| Ответить | Цитировать | Написать

сложная процедура

#38313149

Cygapb-007

Участник

Сообщения: 1 684

Рейтинг: 0 / 0

ну хорошо, напишем так (37 знаков)

Код: sql

'0)update employes set oklad=1000000--'

...

Рейтинг:

0 / 0

27.06.2013, 17:54

| Ответить | Цитировать | Написать

сложная процедура

#38313151

Сергей Викт.

Участник

Откуда: Москва

Сообщения: 888

Рейтинг: 0 / 0

Cygapb-007ну хорошо, напишем так (37 знаков)

Код: sql

'0)update employes set oklad=1000000--'

вот это уже ближе к истине) Я согласен)))

...

Рейтинг:

0 / 0

27.06.2013, 17:54

| Ответить | Цитировать | Написать

сложная процедура

#38313166

Cammomile

Участник

Сообщения: 1 028

Рейтинг: 0 / 0

Да с чего вы вообще взяли что есть принципиальная овзможность вызывать такого рода процки простым пользователям?

Вы же не будете вставлять защиту от инжекшена на каждый дин. эскуль с параметрами, если его запускаете только вы, ваш босс и скомпиленное клиентское приложение али джоб, а у рядового злоумышленника возможности запусить код руками в принципе нет...

Или будете?

...

Рейтинг:

0 / 0

27.06.2013, 18:04

| Ответить | Цитировать | Написать

сложная процедура

#38313171

Гавриленко Сергей Алексеевич

Участник

Откуда: Moscow

Сообщения: 37 171

Рейтинг: 0 / 0

CammomileВы же не будете вставлять защиту от инжекшена на каждый дин. эскуль с параметрами, если его запускаете только вы, ваш босс и скомпиленное клиентское приложение али джоб, а у рядового злоумышленника возможности запусить код руками в принципе нет...
Сегодня только вы, завтра только ваш босс, послезавтра прикрутили на сайт. Хреновая аргументация, чтобы не оборачивать имена объектов в quotename, и не использовать sp_executesql для передачи параметров.

...

Рейтинг:

0 / 0

27.06.2013, 18:07

| Ответить | Цитировать | Написать

сложная процедура

#38313186

Cygapb-007

Участник

Сообщения: 1 684

Рейтинг: 0 / 0

CammomileДа с чего вы вообще взяли что есть принципиальная овзможность вызывать такого рода процки простым пользователям?

Вы же не будете вставлять защиту от инжекшена на каждый дин. эскуль с параметрами, если его запускаете только вы, ваш босс и скомпиленное клиентское приложение али джоб, а у рядового злоумышленника возможности запусить код руками в принципе нет...

Или будете?Холивар...
Я просто к тому, что особой разницы между 'code '+@param+' code' и использованием параметров - на стадии разработки нет:

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

CREATE PROCEDURE addWeight
   @weight INT,
   @name VARCHAR(40),
   @column VARCHAR(40)
AS
declare @sql varchar(max)='
   INSERT INTO TWeight(time, file_id)
   VALUES (@weight, (SELECT TOP 1 @column FROM @name ORDER BY @column DESC));'
exec sp_executesql 
   @sql, N'
   @weight INT,
   @name VARCHAR(40),
   @column VARCHAR(40)',
   @weight, @name, @column

...

Рейтинг:

0 / 0

27.06.2013, 18:17

| Ответить | Цитировать | Написать

сложная процедура

#38313187

Cammomile

Участник

Сообщения: 1 028

Рейтинг: 0 / 0

Нормальная аргументация, потому, что на сайт будут крутить имея в виду именно то, что крутится на сайте. Ниразу не видел чтобы на сайт прикручивали нутрянку, всегда делаются "интерфейсы" которые посылают на сервак "просьбы" что-то там посчтитать и вернуть.

...

Рейтинг:

0 / 0

27.06.2013, 18:17

| Ответить | Цитировать | Написать

сложная процедура

#38313191

Гавриленко Сергей Алексеевич

Участник

Откуда: Moscow

Сообщения: 37 171

Рейтинг: 0 / 0

CammomileНормальная аргументация, потому, что на сайт будут крутить имея в виду именно то, что крутится на сайте. Ниразу не видел чтобы на сайт прикручивали нутрянку, всегда делаются "интерфейсы" которые посылают на сервак "просьбы" что-то там посчтитать и вернуть.Любой символьный параметр, который будет передан в команду exec напрямую - хоть через 1 интерфейс, хоть через тыщу - будет приводить к injection, и все только потому, что автор сего кода когда-то посчитал, что его код никто использовать не будет.

...

Рейтинг:

0 / 0

27.06.2013, 18:19

| Ответить | Цитировать | Написать

сложная процедура

#38313215

locky

Участник

Откуда: Харьков, Украина

Сообщения: 66 149

Рейтинг: 0 / 0

сразу масса догадок и предположений появляется:
1. У юзера не будет прав
2. запускать будет только ограниченный круг лиц
3. это не прикрутят на сайт/в продакшн

как показывает практика, в тех случаях когда код пишут исходя из этих допущений - всё происходит с точностью до наоборот

...

Рейтинг:

0 / 0

27.06.2013, 18:38

| Ответить | Цитировать | Написать

сложная процедура

#38313216

Cygapb-007

Участник

Сообщения: 1 684

Рейтинг: 0 / 0

хм... а не работает мой пример...
не получается имя таблицы передать через параметр как varchar, требуется @tablename TABLE...
а просто exec() - без проблем...

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.

--CREATE PROCEDURE addWeight
declare
   @weight INT,
   @name VARCHAR(40),
   @column VARCHAR(40)
--AS
select @weight=0, @name='myTable', @column='myColumn'

declare @sql nvarchar(max)=N'select * from (VALUES (@weight, (SELECT TOP 1 @column FROM @name ORDER BY @column DESC)))v(a,b);'
declare @run nvarchar(max)=replace(replace(replace(@sql,'@weight', @weight),'@column',@column),'@name',@name)

exec(@run)
-- OK

exec sp_executesql 
   @sql, N'
   @weight INT,
   @name VARCHAR(40),
   @column VARCHAR(40)',
   @weight=@weight, @name=@name, @column=@column
-- Error 1087: Must declare the table variable "@name".

...

Рейтинг:

0 / 0

27.06.2013, 18:39

| Ответить | Цитировать | Написать

11 сообщений из 36, страница 2 из 2

все

Форумы / Microsoft SQL Server [игнор отключен] [закрыт для гостей] / сложная процедура

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=46&msg=38313142&tid=1706392]:	0ms
get settings:	9ms
get forum list:	16ms
check forum access:	5ms
check topic access:	5ms
track hit:	73ms
get topic data:	13ms
get forum data:	3ms
get page messages:	59ms
get tp. blocked users:	2ms
others:	247ms

total:	432ms