FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

SQL injection (Внедрение SQL-кода)

 
Начать новую тему   Ответить на тему    Список форумов PrintStore.ru - система учета расходных материалов -> Выполненные пожелания
Предыдущая тема :: Следующая тема  
Автор Сообщение
DaimonX



Зарегистрирован: 05.08.2009
Сообщения: 17

СообщениеДобавлено: Ср Мар 09, 2011 19:19 09.03.2011    Заголовок сообщения: SQL injection (Внедрение SQL-кода) Ответить с цитатой

Добрый день.
Подскажите или возможен SQL injection в Printstore, и если да то как?
Просто хотелось бы делать поиск по полю "Инв.Номер" разделе НРМ перечислив их в поле "Поиск" через запятую.
Заранее спасибо.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Michael
Руководитель проекта


Зарегистрирован: 12.10.2005
Сообщения: 2421
Откуда: Москва

СообщениеДобавлено: Чт Мар 10, 2011 13:35 10.03.2011    Заголовок сообщения: Ответить с цитатой

SQL инъекция в PrintStore невозможна. Все фильтры в программе работают по одному принципу - вводимая строка первым делом парсится по пробелам. Спецсимволы типа кавычек при этом игнорируются. Насколько мне известно, написать SQL запрос без пробелов невозможно Wink, поэтому очень сомнительно, что удастся заставить наш фильтр выполнить что-то кроме его прямого назначения.

Что касается вашего пожелания по поиску одновременно нескольких слов, то я об этом уже думал. Мне очень нравится поиск на price.ru. Там можно перечислить несколько вариантов через точку с запятой, а также исключить ненужные слова с помощью символа ^. Вероятно, в ближайшее время у нас тоже добавим такую возможность.
_________________
Любой путь начинается с первого шага
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
DaimonX



Зарегистрирован: 05.08.2009
Сообщения: 17

СообщениеДобавлено: Чт Мар 10, 2011 13:40 10.03.2011    Заголовок сообщения: Ответить с цитатой

Жду с нетерпением.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Michael
Руководитель проекта


Зарегистрирован: 12.10.2005
Сообщения: 2421
Откуда: Москва

СообщениеДобавлено: Ср Мар 23, 2011 15:42 23.03.2011    Заголовок сообщения: Ответить с цитатой

Сделали. Wink
Теперь можно будет в текстовом поле ввести несколько значений через точку с запятой, и они будут показываться все. Например, чтобы показать в оборудовании всю технику HP и Canon, надо будет в фильтр ввести "hp;canon".
Исключение вариантов сделано с помощью символа "^", который надо поставить перед ненужным вариантом. Например, чтобы показать всю технику Canon, кроме факсов, надо будет в фильтр ввести "canon ^факс".

Так что ждите релиза. Cool
_________________
Любой путь начинается с первого шага
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
DaimonX



Зарегистрирован: 05.08.2009
Сообщения: 17

СообщениеДобавлено: Ср Мар 23, 2011 16:21 23.03.2011    Заголовок сообщения: Ответить с цитатой

Michael писал(а):
Сделали. Wink
Теперь можно будет в текстовом поле ввести несколько значений через точку с запятой, и они будут показываться все. Например, чтобы показать в оборудовании всю технику HP и Canon, надо будет в фильтр ввести "hp;canon".
Исключение вариантов сделано с помощью символа "^", который надо поставить перед ненужным вариантом. Например, чтобы показать всю технику Canon, кроме факсов, надо будет в фильтр ввести "canon ^факс".

Так что ждите релиза. Cool


Спасибо, можно сразу рядом с фильтром еще вписать эти правила ввода значений, чтобы не рыть справку.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Michael
Руководитель проекта


Зарегистрирован: 12.10.2005
Сообщения: 2421
Откуда: Москва

СообщениеДобавлено: Ср Мар 23, 2011 16:31 23.03.2011    Заголовок сообщения: Ответить с цитатой

DaimonX писал(а):
Спасибо, можно сразу рядом с фильтром еще вписать эти правила ввода значений, чтобы не рыть справку.

Я не против вписать. Но куда? Там довольно компактно все.
_________________
Любой путь начинается с первого шага
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
DaimonX



Зарегистрирован: 05.08.2009
Сообщения: 17

СообщениеДобавлено: Ср Мар 23, 2011 16:44 23.03.2011    Заголовок сообщения: Ответить с цитатой

Michael писал(а):
DaimonX писал(а):
Спасибо, можно сразу рядом с фильтром еще вписать эти правила ввода значений, чтобы не рыть справку.

Я не против вписать. Но куда? Там довольно компактно все.


Не могу отправить картинку, но можно чуть выше, в НРМ над словами "Фильтр" "Поиск" "Статус". Думаю влезет. Можно маленьким шрифтом.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Neptus
Почетный активист проекта


Зарегистрирован: 16.12.2009
Сообщения: 107
Откуда: Москва

СообщениеДобавлено: Пт Мар 25, 2011 17:10 25.03.2011    Заголовок сообщения: Ответить с цитатой

Можно при наведение на поле чтоб всплывала подсказка....
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Michael
Руководитель проекта


Зарегистрирован: 12.10.2005
Сообщения: 2421
Откуда: Москва

СообщениеДобавлено: Ср Июл 06, 2011 19:07 06.07.2011    Заголовок сообщения: Ответить с цитатой

В общем, в 1.06 фича реализована. Правда, я что-то закрутился и забыл добавить всплывающую подсказку Rolling Eyes. Но зато фича описана в руководстве к программе. А про подсказку сейчас отправлю задание в наш баг-трекер, и оно уже никуда не денется, к следующей версии сделаем.
_________________
Любой путь начинается с первого шага
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов PrintStore.ru - система учета расходных материалов -> Выполненные пожелания Часовой пояс: GMT + 4
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group