Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků používaných ve svých datových centrech za rok 2025. Ke konci roku 2025 vlastnila 349 462 pevných disků. Průměrná AFR (Annualized Failure Rate), tj. pravděpodobnost, že disk během roku selže, byla 1,36 %. V roce 2024 to bylo 1,57 %. V roce 2023 to bylo 1,70 %. V roce 2022 to bylo 1,37 %.
Nástroj sql-tap je proxy mezi aplikací a databází, které zachytává všechny SQL dotazy a zobrazuje je v terminálovém rozhraní. Zde lze téměř v reálném čase zkoumat dotazy, sledovat transakce a spouštět SQL příkaz EXPLAIN. Podporované databázové systémy jsou pouze PostgreSQL a MySQL. Zdrojový kód je dostupný na GitHubu, pod licencí MIT.
Byla vydána nová verze 9.2 textového editoru Vim (Vi IMproved). Přináší vylepšené doplňování, podporu schránky ve Waylandu, podporu XDG Base Directory (konfigurace v $HOME/.config/vim), vylepšené Vim9 skriptování nebo lepší zvýrazňování změn. Vim zůstává charityware. Nadále vybízí k podpoře dětí v Ugandě. Z důvodu úmrtí autora Vimu Brama Moolenaara a ukončení činnosti jím založené charitativní organizace ICCF Holland projekt Vim navázal spolupráci s charitativní organizaci Kuwasha.
Byl představen editor MonoSketch, webová aplikace pro tvorbu diagramů, technických nákresů, flowchartů a různých dalších vizualizací, to vše jenom z ASCII znaků. Všechny operace běží pouze v prohlížeči uživatele a neprobíhá tedy žádné nahrávání dat na server. Zdrojový kód aplikace (drtivá většina Kotlin, žádné C#) je dostupný na GitHubu pod licencí Apache 2.0.
Byla vydána nová verze 3.7.0 multiplatformního svobodného frameworku pro zpracování obrazu G'MIC (GREYC's Magic for Image Computing, Wikipedie). Přehled novinek i s náhledy nových filtrů na PIXLS.US.
Všem na AbcLinuxu vše nejlepší k Valentýnu aneb Dni lásky ke svobodnému softwaru (I love Free Software Day, Mastodon, 𝕏).
Eric Migicovsky představil Pebble Emulator, tj. emulátor hodinek Pebble (PebbleOS) běžící ve webovém prohlížeči. Za 6 hodin jej napsal Claude Code. Zdrojové kódy jsou k dispozici na GitHubu.
Byla vydána nová verze 3.41 frameworku Flutter (Wikipedie) pro vývoj mobilních, webových i desktopových aplikací a nová verze 3.11 souvisejícího programovacího jazyka Dart (Wikipedie).
Rusko zcela zablokovalo komunikační platformu WhatsApp, řekl včera mluvčí Kremlu Dmitrij Peskov. Aplikace, jejímž vlastníkem je americká společnost Meta Platforms a která má v Rusku na 100 milionů uživatelů, podle Peskova nedodržovala ruské zákony. Mluvčí zároveň lidem v Rusku doporučil, aby začali používat domácí aplikaci MAX. Kritici tvrdí, že tato aplikace ruské vládě umožňuje lidi sledovat, což úřady popírají.
Před 34 lety, ve čtvrtek 13. února 1992, se tehdejší Česká a Slovenská Federativní Republika oficiálně (a slavnostně) připojila k Internetu.
6.5.2009 20:00
xkucf03 | skóre: 50
| blog: xkucf03
+1
String user_name = ...; String password = ...; // tak takto nie Query q1 = new Query ( "insert into users ( username, password ) values ( " + user_name + ", " + password + " );" ); // takto PreparedQuery q2 = new PreparedQuery ( "insert into users ( username, password ) values ( ?,? );" ); q2.setString ( 1, user_name ); q2.setString ( 2, password );Pokial bude v password nieco ako "foo ); drop from users; select ( 1", tak sa vykona:
insert into users ( username, foo ); drop from users; select ( 1 );... a mas problem
23.4.2009 10:50
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
.
insert into users ( username, password ) values ( 1 ); // na toto povie fail drop table users; // toto s radostou vykona select 1foo);" // a toto zase zfailuje, to ti uz ale nepomoze
23.4.2009 11:54
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
6.5.2009 20:04
xkucf03 | skóre: 50
| blog: xkucf03
Proč by ty systémové tabulky zahazoval, když si z nich může vyselektovat názvy těch uživatelských?
Rikat si "utocnik nezna nazvy tabulek, nemusim to zabezpecovat" - neni zrovna dobry pristup;))
Jinak nepovolene prihlaseni do jakehokoliv nezabezpeceneho systemu nemusis znat nazvy tabulek ani sloupcu.
napr.:
<tt>
SQL pro overeni hesla uzivatele (" SELECT user WHERE login = '"+login+"' AND passwd = '"+heslo+"';");
</tt>
pokud v promene heslo mas hodnoty:
' OR '1'='1
nebo si zkouset vybrat uzivatele ktereho chces
' OR 1 OFFSET 25 LIMIT 1 --
tak se prihlasis bez znalosti uzivatelskeho hesla - a nemusis znat zadny nazev tabulky ani sloupce.
Jak to s tím souvisí??
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
23.4.2009 09:23
PreparedStatement a PreparedCall, takže mi SQL injection nehrozí – hodnoty zadané uživatelem se tam zadávají jen jako hodnoty konkrétních parametrů, žádné skládání dotazu z jednotlivých částí.
6.5.2009 20:16
xkucf03 | skóre: 50
| blog: xkucf03
Pokud je ošéfovaná komunikace server -> databáze
Tak ta z principu ošéfovaná být musí, protože přes ni tečou všechna (i citlivá) data.
Jestli hashovat nebo ne, jsem se zabýval v blogu. 
Hashovat mi přijde přirozenější až v DB (je to na jednom místě), ale není to až tak zásadní otázka.
BTW: četl už někdo tyhle zdrojáky? Ke změně hesla tam používám DB funkci, která ověří i to původní heslo -- ten systém by měl být odolný i proti jakkoli zkompromitované (a zpackané) porezentační vrstvě (PHP), ale rád bych, kdyby to po mě ještě někdo přečetl
6.5.2009 20:08
xkucf03 | skóre: 50
| blog: xkucf03
O tom to přece není. Heslo může být všeliaké i když nehashujeme, nebo to ani nemusí být heslo, ale třeba řetězec k vyhledání.
Jediné spolehlivé řešení je, neskládat SQL dotaz/příkaz, nelepit ho z kousků textu -- mít jeden odladěný dotaz s otazníky, za které se pak dosadí* proměnné (v Javě PreparedStatement, v PHP tohle umí PDO)
*) pomocí zvláštní funkce, ne nahrazením textu
co se vstupů týče, osobně např. dbám na escapování uvozovek atd. atd.
To znamená co? Že ty texty od uživatele escapuješ a pak je třeba uložíš do DB? IMHO je lepší pracovat s daty, tak* jak přišly od uživatele a do databáze ukládat čistá data, tedy bez jakéhokoli escapování. Důvody:
*) mluvím teď o ošetření nebezpečných znaků (pro SQL, HTML), ne o kontrolách typu, že e-mail musí vyhovovat regulárnímu výrazu, nebo že text má nějakou maximální délku.
**) mám tu čest pracovat s jednou pěkně zfušovanou aplikací, která neumí UTF-8 a soudruhy z DDR nenapadlo nic lepšího, než ty znaky escapovat na HTML entity. Ono jim to hezky funguje když se text zobrazuje na webu, to by si toho člověk ani nevšiml, ale jakmile se ten text pošle elektronickou poštou (což se s e-maily běžně dělá) mimo ten systém, máme problém – příjemce vidí HTML entity tam, kde žádné HTML nemá, co dělat (např. předmět mailu).
Data je samozřejmě žádoucí ukládat (tedy zařídit aby byla ve výsledku uložena) tak, jak přišla od uživatele
S tím souhlasím…
což v SQL příkazu, kde jsou tato data ohraničena apostrofy, lze zařídit již zmíněným escapováním případných apostrofů v datech
…a s tímhle už ne. Data od uživatele především vůbec není vhodné vkládat přímo do SQL dotazu, protože právě tím si potenciálně zaděláváte na všechny problémy označované jako SQL injection. Pokud data od dotazu oddělíte, nemusíte escapovat nic a neriskujete, že jednou někde něco přehlédnete a vystavíte se tím útoku.
Jinak co se vstupů týče, osobně např. dbám na escapování uvozovek atd. atd.
A to je právě špatně, je to zbytečně komplikované a sebemenší chybička se může vymstít. Hodnoty parametrů prostě nemají v SQL dotazu co dělat. Je to jen historický relikt z dob, kdy PHP rozhraní pro MySQL neumělo pracovat s parametrizovanými dotazy. Ale i to už dost dlouho parametry oddělit umí (pro jiné databáze to šlo i dříve), takže není důvod si zbytečně přidělávat práci a navíc ještě zvyšovat riziko.
Názvy tabulek a sloupců se dají ověřit správně sestaveným selectem. Když tabulka/sloupec neexistuje, select skončí s chybou a vyskočí internal server error. Když existuje, tak se stránka načte. A pokud je ten web opravdu hodně blbě napsaný, šlo by nechat si hlavičky všech tabulek vypsat.
Vkladat se da pres jakykoliv uzivatelsky vstup, ktery se pak vklada do SQL dotazu - tozn. moznosti je spousta:
- URL parametry
- data ve formulari
- http headery (cookies a jakekoliv dalsi)
... doporucuju si koupit nejakou knihu o bezpecnosti webovych aplikaci - SQL injection je jen jedna moznost utoku, ale existuje mnoho dalsich.
Celé to ale předpokládá, že vstup zadaný (jakýmkoli způsobem) uživatelem bude použit jako součást SQL dotazu, což je samo o sobě naprosto zásadní chyba. Přitom dnes už i PHP rozhraní pro MySQL už (konečně) umožňuje se tomu vyhnout. Jenže autoři skriptů si (většinou) nechtějí "přidělávat práci" s bindováním parametrů a dál tvrdošíjně cpu uživatelské vstupy přímo do dotazu.
Takže SQL injection lze v drtivé většině případů velmi snadno a zcela univerzálně předejít a pokud to někdo odmítá udělat, protože "takhle to přeci psal vždycky", případně "takhle to přeci dělají všichni" nebo "takhle to dělá Franta Vomáčka ve své knize", je to jen jeho hloupost.
Tiskni
Sdílej:
