Мастерство программирования

[ny_quant]

У нас в отделе есть некая аппликация собственной внутренней разработки, где в одном месте тебе не просто показывают то что хотел бы увидеть, но и заодно как бы мета-SQL query, которую можно потом вручную подкрутить, чтобы получить ещё-более интересные результаты. Почему мета а не просто SQL? Наверное чтобы кто-нибудь случайно в базе не напортачил.

Намедни я в это место сдуру кликнул. Результат получился настолько парадоксальный, что я стал читать этот SQL и с удивлением обнаружил вот такую часть запроса:

... and "Status" "is" "Active" and "Status" "is" "Inactive" ...

От изумления написал вопрос в службу поддержки. Поступил ответ:

Ignore. The team is following up with tech as the “and” is probably not working as expected.

Прибалдел. Можно даже сказать - пришел в должностной восторг.

Comments

[vnarod.livejournal.com]

При таком запросе ты вообще не должен был результат получить.

[ny-quant.livejournal.com]

Спасибо, капитан. У мея есть хорошее название для твоего корабля. На букву О

[vnarod.livejournal.com]

Ты посто написал "Результат получился настолько парадоксальны", что подразумевает что результат не пустой

[ny-quant.livejournal.com]

Exactly right. Но просто не пустой, а ещё и парадоксальный.

[eugene naumovich (from livejournal.com)]

Вы во неправильной прадигме, потому как полагаете, что "Status" - boolean. A он может enum, и кроме "Active", "Inactive" может быть ещё "Deleted", "Locked" и "Unknown".

[ny-quant.livejournal.com]

Ви таки мне будете расказывать за наши статусы?

[eugene naumovich (from livejournal.com)]

А вы твердо стоите на том, что это "статусы" ваши, а не аутсорсера из Мумбая?

[sydorov47.livejournal.com]

Если трансляция из "мета" в SQL не проверяет текст, и запрос отрабатывает завышеными привелегиями, то там базу и скопировать, и удалить может получитья.

[ny-quant.livejournal.com]

А вот это идея!

Re: "мета" в SQL не проверяет текст

[eugene naumovich (from livejournal.com)]

Это называется "code injection" и является одним из 7 каноничных путей в Адъ.

Re: "мета" в SQL не проверяет текст

[sydorov47.livejournal.com]

Путей 10. Пророк OWASP их изрекает раз в год.

[stumari.livejournal.com]

I think it really depends on what the meaning of the word "is" is
and, of course, the same about the "and"

[ny-quant.livejournal.com]

:)

[stan podolski (from livejournal.com)]

And maybe "Status" is from quantum calculations and therefore can be Active and Inactive at the same time

[stumari.livejournal.com]

Quantum programming

[ny-quant.livejournal.com]

!!

[nlothik.livejournal.com]

Not only that, but it also depends on whether the status is being observed.

[silugram.livejournal.com]

Это как "to be or not to be" is always true.