sql-injection - SQL и NoSQL | Coursera

Полный обзор Coursera

Для организаций

Обзор
Самые популярные курсы
Войти
Присоединиться бесплатно

sql-injection

Loading...

Разработка веб-сервисов на Golang, часть 2

Московский физико-технический институт

4.9 (оценок: 114) | Зарегистрировано учащихся: 6.7K

Участвовать бесплатно

Go (golang) - современный язык программирования, предназначенный для разработки высококонкурентных приложений, работающих на многопроцессорных системах. В данной части курса будут обзорно рассмотрены типовые задачи, возникающие перед разработчиком любого веб-сервиса и способы их решения на Go. Это курс предназначен для людей с опытом в веб-программировании. Если вы пишете на PHP/Python/Ruby/JS (Node.js) и хотите освоить Go - этот курс для вас. Начинающим программистам может быть немного сложно, т.к. в лекциях используется профессиональный жаргон (сленг), без детальных пояснений. Курс не рассчитан на людей без опыта программирования.

Просмотреть программу курса

Рецензии

4.9 (оценок: 114)

5 stars
89%
4 stars
11%
1 star
1%

OK

Feb 25, 2018

здорово то, что этот курс построен не на основе книжек и банальных тьюториалов, а на основе реального практического опыта использования. спасибо за курс! однозначно рекомендую всем

RB

Jul 24, 2019

Курс - огонь. То, что теория читается галопом по европам с лихвой компенсируется интересными домашними заданиями, над которыми приходится изрядно поломать моск.

Из урока

SQL и NoSQL

Данная лекция посвящена работа с хранилищами. Основная часть работы веб-сервиса - это "положить и достать что-то из БД", так что тема актуальная

database/sql и mysql16:04

GORM - применение reflect'а для SQL6:35

sql-injection3:52

Преподаватели

Романов Василий Вячеславович
Technical manager

Попробуйте курс за Бесплатно

Текст видео

[БЕЗ_ЗВУКА] В этом видео мы поговорим про тему, которая не относится непосредственно к нашему курсу, но про которую нужно говорить всегда и почаще. Называется это sql-инъекция. Давайте рассмотрим следующий код. Вот у нас есть какая-то форма, давайте сначала посмотрим на форму, где у нас есть логин и пароль. Мы вводим один пароль, авторизуемся, и все вроде бы хорошо. Но в чем подвох? Мы добавляем параметр руками, мы подставляем этот параметр руками в запрос, фактически без экранирования. Мы думаем, если там встретится кавычка, то я поставлю кавычку, и все будет хорошо, на случай, если в параметре несколько пробелов. Но давайте посмотрим, к чему это приводит. Вот наша форма, я ввел user, который реально существует, нажал login. Итак, вот мой запрос, который получился у меня. Я достаю id, login из таблицы пользователей. Все хорошо, user подставился, кавычки есть, все нормально. Запись нашлась: да, действительно, id 1, login user. Но давайте посмотрим вариант с sql-инъекцией. Итак, я выдал какую-нибудь страшную штуку. 404 or login = admin. И нажму кнопку login. И теперь вроде бы у меня не должно быть такого пользователя, я вроде бы там кавычки какие-то вводил. Но что на самом деле произошло? Вот параметр, который я ввел. Обратите внимание, тут нет открывающейся кавычки и закрывающейся. И вот эта кавычка закрыла то, что я писал, а дальше уже мой запрос. И поэтому вариант, когда я руками подставляю параметру запрос, он нашел у меня пользователя admin, в то время как вариант с плейсходлерами, он корректно экранировал значение, и там ничего не нашлось. Давайте взглянем на код еще раз. Вот вариант с sql-инъекцией. Мы подставляем значение руками в sql-запрос через Sprintf. В принципе, это было бы аналогично, как если бы мы написали вот так, и тут был бы не тот логин. Вот так. То же самое. Но так делать нельзя. Просто запомните. Никогда не надо подставлять значения в sql-запрос руками без экранирования корректного. Поэтому появляется вопрос, каким образом произвести корректное экранирование параметров. В случае с sql в базах данных почти везде поддерживаются плейсхолдеры. В MySQL это символ вопроса, и весь запрос сразу у вас уходит в QueryRow. Я не делаю предварительный запрос, если он мне нужен, а сам параметр, который я хочу подставить вместо знака вопроса, он передается уже в QueryRow. QueryRow — это variadic функция, то есть она принимает переменное число аргументов, в данном случае они названы как args. И там принимается пустой интерфейс, то есть вы можете передать туда любое значение. Поэтому просто запомните: если вы хотите подставить какое-то значение в sql, всегда используйте плейсхолдеры. Это обезопасит вас от очень многих проблем, вызванных sql-инъекциями, потому что это самая распространенная уязвимость в современных веб-приложениях.

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Лучшие онлайн-курсы

Искусственный интеллект для каждого
Введение в TensorFlow
Нейронные сети и глубокое обучение
Алгоритмы, часть 1
Алгоритмы, часть 2
Машинное обучение
Машинное обучение с использованием Python
Машинное обучение с использованием Sas Viya
Программирование на языке R
Введение в программирование на MATLAB
Анализ данных с Python
Основы AWS: введение в облачные приложения
Основы Google Cloud Platform
Обеспечение надежности веб-сервисов
Разговорный английский язык на профессиональном уровне
Наука благополучия
Научитесь учиться
Финансовые рынки
Проверка гипотез в здравоохранении
Основы повседневного руководства

Лучшие онлайн-специализации

Глубокое обучение
Python для всех
Наука о данных
Прикладная наука о данных с Python
Основы бизнеса
Разработка архитектуры на платформе Google Cloud
Инженерия данных на платформе Google Cloud
От Excel до MySQL
Продвинутое машинное обучение
Математика в машинном обучении
Беспилотные автомобили
Блокчейн для организаций
Бизнес-аналитика
Навыки Excel для бизнеса
Цифровой маркетинг
Статистический анализ в здравоохранении на языке R
Основы иммунологии
Анатомия
Управление инновациями и дизайн-мышление
Основы позитивной психологии

Сертификаты онлайн

ИТ-поддержка Google
Специалист IBM по привлечению клиентов
Наука о данных IBM
Прикладное управление проектами
Профессиональная сертификация IBM в области прикладного ИИ
Машинное обучение для Analytics
Пространственный анализ данных и визуализация
Проектирование и управление в строительстве
Педагогический дизайн

Программы получения онлайн-дипломов

Магистр в области науки о данных
Бакалавр компьютерных наук
Степени в области компьютерных и технических наук
Магистр в области машинного обучения
MBA и другие степени в области бизнеса
Магистр в области электротехнического проектирования
Магистр здравоохранения
Магистр информационных технологий

Coursera

О проекте
Руководство
Карьера
Каталог
Сертификаты
Сертификаты MasterTrack™
Степени
Для организаций
Для правительственных организаций
Для стационара
Борьба с последствиями коронавируса

Сообщество

Учащиеся
Партнеры
Разработчики
Бета-тестировщики
Переводчики
Блог
Технический блог

Еще

Условия
Конфиденциальность
Помощь
Доступность
Пресса
Контакты
Справочник
Филиалы

Загрузить в Google Play

© Coursera Inc., 2020 Все права защищены.