SQL injection (Внедрение SQL-кода)

[DaimonX]

Добрый день.
Подскажите или возможен SQL injection в Printstore, и если да то как?
Просто хотелось бы делать поиск по полю "Инв.Номер" разделе НРМ перечислив их в поле "Поиск" через запятую.
Заранее спасибо.

[Michael]

SQL инъекция в PrintStore невозможна. Все фильтры в программе работают по одному принципу - вводимая строка первым делом парсится по пробелам. Спецсимволы типа кавычек при этом игнорируются. Насколько мне известно, написать SQL запрос без пробелов невозможно , поэтому очень сомнительно, что удастся заставить наш фильтр выполнить что-то кроме его прямого назначения.

Что касается вашего пожелания по поиску одновременно нескольких слов, то я об этом уже думал. Мне очень нравится поиск на price.ru. Там можно перечислить несколько вариантов через точку с запятой, а также исключить ненужные слова с помощью символа ^. Вероятно, в ближайшее время у нас тоже добавим такую возможность.
_________________
Любой путь начинается с первого шага

[DaimonX]

Жду с нетерпением.

[Michael]

Сделали.
Теперь можно будет в текстовом поле ввести несколько значений через точку с запятой, и они будут показываться все. Например, чтобы показать в оборудовании всю технику HP и Canon, надо будет в фильтр ввести "hp;canon".
Исключение вариантов сделано с помощью символа "^", который надо поставить перед ненужным вариантом. Например, чтобы показать всю технику Canon, кроме факсов, надо будет в фильтр ввести "canon ^факс".

Так что ждите релиза.
_________________
Любой путь начинается с первого шага

[DaimonX]

[Michael]

[DaimonX]

[Neptus]

Можно при наведение на поле чтоб всплывала подсказка....

[Michael]

В общем, в 1.06 фича реализована. Правда, я что-то закрутился и забыл добавить всплывающую подсказку . Но зато фича описана в руководстве к программе. А про подсказку сейчас отправлю задание в наш баг-трекер, и оно уже никуда не денется, к следующей версии сделаем.
_________________
Любой путь начинается с первого шага