Comments on: Podcast: Záznam z přednášky iBatis SqlMaps http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/ Dává je jen zřídka, obvykle jim není moc rozumět a často vám ani k ničemu nejsou. Wed, 21 Jul 2010 16:31:34 +0000 hourly 1 http://wordpress.org/?v=3.0 By: Otec Fura http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-12971 Otec Fura Tue, 06 Oct 2009 11:48:49 +0000 http://blog.novoj.net/?p=408#comment-12971 Ahoj Tomáši, tahle přednáška vznikla ještě v době, kdy o iBatisu 3 toho ještě moc známo nebylo. Vycházel jsem především z Whitepaperu, který byl na téma iBatis 3 zpracován. Na blogu mám teď dva daleko aktuálnější články o třetí verzi iBatisu: http://blog.novoj.net/2009/08/16/ibatis-30-preview-cast-prvni/ http://blog.novoj.net/2009/08/23/ibatis-30-preview-cast-druha/ V XML konfiguraci pak zcela běžně používají pojmenovaných parametrů víc. Pročítal jsem mail thread a vidím problémy s anotacemi. V Javě se v reflexi bohužel nedají číst názvy parametrů metody - tj. iBatis nemá z čeho zjistit názvy parametrů, které jsou následně v anotaci používány. Proto zatím umožňují pouze jeden parametr. Jediné dvě možné řešení je tvorba extra anotace, nebo používání indexů - a to ani jedno není moc komfortní. Dalším možností by bylo použít knihovnu Paranamer (http://paranamer.codehaus.org/) od Codehausu, ale ani ta není 100% - má například problémy s interfacy. Uvidíme, jak si s issue poradí Clinton Begin. Co se týká toho, že anotace plnohodnotně pokrývají možnosti XML - vycházím z toho, co o tom tvrdí autoři. Pokud to není plnohodnotné, mělo by se to tomu blížit. Nicméně máš pravdu, co se týká 3tí verze, mám zatím limitované vědomosti. Ahoj Tomáši, tahle přednáška vznikla ještě v době, kdy o iBatisu 3 toho ještě moc známo nebylo. Vycházel jsem především z Whitepaperu, který byl na téma iBatis 3 zpracován. Na blogu mám teď dva daleko aktuálnější články o třetí verzi iBatisu:

http://blog.novoj.net/2009/08/16/ibatis-30-preview-cast-prvni/
http://blog.novoj.net/2009/08/23/ibatis-30-preview-cast-druha/

V XML konfiguraci pak zcela běžně používají pojmenovaných parametrů víc. Pročítal jsem mail thread a vidím problémy s anotacemi. V Javě se v reflexi bohužel nedají číst názvy parametrů metody – tj. iBatis nemá z čeho zjistit názvy parametrů, které jsou následně v anotaci používány. Proto zatím umožňují pouze jeden parametr. Jediné dvě možné řešení je tvorba extra anotace, nebo používání indexů – a to ani jedno není moc komfortní. Dalším možností by bylo použít knihovnu Paranamer (http://paranamer.codehaus.org/) od Codehausu, ale ani ta není 100% – má například problémy s interfacy. Uvidíme, jak si s issue poradí Clinton Begin.

Co se týká toho, že anotace plnohodnotně pokrývají možnosti XML – vycházím z toho, co o tom tvrdí autoři. Pokud to není plnohodnotné, mělo by se to tomu blížit.

Nicméně máš pravdu, co se týká 3tí verze, mám zatím limitované vědomosti.

]]> By: Tomáš Procházka http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-12969 Tomáš Procházka Tue, 06 Oct 2009 05:56:54 +0000 http://blog.novoj.net/?p=408#comment-12969 Napsal jsem na to Issue: http://issues.apache.org/jira/browse/IBATIS-669 Dále není pravda, že anotace jsou plnohodnotné XML, rozhodně nejsou. Napsal jsem na to Issue:
http://issues.apache.org/jira/browse/IBATIS-669

Dále není pravda, že anotace jsou plnohodnotné XML, rozhodně nejsou.

]]> By: Tomáš Procházka http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-12968 Tomáš Procházka Tue, 06 Oct 2009 05:38:43 +0000 http://blog.novoj.net/?p=408#comment-12968 Na Slidu 18 je v Mapperu toto: Nepodařilo se mi nikde najít zmíňku o tom, že je toto podporováno (ani ve verzi 3 beta), dokonce ani v doctypu parameters není. I když bylo by to krásně a je to to poslední, co mi v iBatisu chybí, abych ho mohl začít používat. Na podobné téma jsem se ptal v konferenci: http://www.mail-archive.com/user-java@ibatis.apache.org/msg14807.html Na Slidu 18 je v Mapperu toto:

Nepodařilo se mi nikde najít zmíňku o tom, že je toto podporováno (ani ve verzi 3 beta), dokonce ani v doctypu parameters není. I když bylo by to krásně a je to to poslední, co mi v iBatisu chybí, abych ho mohl začít používat.

Na podobné téma jsem se ptal v konferenci:
http://www.mail-archive.com/user-java@ibatis.apache.org/msg14807.html

]]> By: Ex1 http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6848 Ex1 Wed, 11 Mar 2009 11:25:40 +0000 http://blog.novoj.net/?p=408#comment-6848 Dobře udělané a informativní. Díky. Dobře udělané a informativní. Díky.

]]> By: benzin http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6846 benzin Wed, 11 Mar 2009 07:30:55 +0000 http://blog.novoj.net/?p=408#comment-6846 P.S.: Jeste k tomu ## a $$ je dobre podotknout ze nejenom SQL Injection to resi. Resi to taky kompilaci SQL dotazu a delku logu. Kdyz totiz rvete hodnoty primo do SQL musi serve pokazde znovu kompilovat dotaz a pokazde si o nem udela zapis do logu, kdezto kdyz pouzijete ?, tak ke kompilaci dojde (v idealnim pripade) jenom jednou a i logu se tim hodne ulevi. P.S.: Jeste k tomu ## a $$ je dobre podotknout ze nejenom SQL Injection to resi. Resi to taky kompilaci SQL dotazu a delku logu. Kdyz totiz rvete hodnoty primo do SQL musi serve pokazde znovu kompilovat dotaz a pokazde si o nem udela zapis do logu, kdezto kdyz pouzijete ?, tak ke kompilaci dojde (v idealnim pripade) jenom jednou a i logu se tim hodne ulevi.

]]> By: Otec Fura http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6835 Otec Fura Tue, 10 Mar 2009 12:11:06 +0000 http://blog.novoj.net/?p=408#comment-6835 Vypnul jsem je. Kdysi se mi zdály jako dobrej nápad, ale už se mi taky moc nepozdávají - tvůj komentář byla poslední kapka ;-) Vypnul jsem je. Kdysi se mi zdály jako dobrej nápad, ale už se mi taky moc nepozdávají – tvůj komentář byla poslední kapka ;-)

]]> By: lzap http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6832 lzap Tue, 10 Mar 2009 11:40:38 +0000 http://blog.novoj.net/?p=408#comment-6832 Ty ajaxový SNAPSHOTY jsou odporný, jak to vypnout? Furt se mi to tady objevuje. Pěkná přednáška. Ty ajaxový SNAPSHOTY jsou odporný, jak to vypnout? Furt se mi to tady objevuje.

Pěkná přednáška.

]]> By: Otec Fura http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6807 Otec Fura Mon, 09 Mar 2009 16:40:26 +0000 http://blog.novoj.net/?p=408#comment-6807 No ten #parameter# je vždy bezpečný - jenomže ho nemůžeš použít na všech místech v tom SQL - pokud potřebuješ napsat dynamickou ORDER BY klauzuli, tak se bez $parameter$ neobejdeš. Skutečně si to stačí v hlavě představit, jak to bude přeložené do toho JDBC zápisu. Tzn. k výše uvedenému zápisu - není možné zapsat SQL: select * from TABULKA order by ? ? To by JDBC zařvalo - to akceptuje parametry jen skutečně na místech, které jsou pro parametry platné (tzn. např where podmínky "where sloupec = ?" apod.). Pro ty dolarové zápisy je teda dobré to dělat tak, že pokud ti jde parametr z url, tak si při přípravě vstupů do mapované query iBatisu uděláš: if ("asc".equalsIgnoreCase(urlParameter)) { iBAtisParameters.put("type", "asc")); } else { iBAtisParameters.put("type", "desc")); } Je to sice trošku víc psaní, ale jednodušeji to podle mého nejde, aniž by ses nevystavil SQL Injection. Na druhou stranu, tohle by asi iBatis nemohl dost dobře suplovat. No ten #parameter# je vždy bezpečný – jenomže ho nemůžeš použít na všech místech v tom SQL – pokud potřebuješ napsat dynamickou ORDER BY klauzuli, tak se bez $parameter$ neobejdeš. Skutečně si to stačí v hlavě představit, jak to bude přeložené do toho JDBC zápisu. Tzn. k výše uvedenému zápisu – není možné zapsat SQL:

select * from TABULKA order by ? ?

To by JDBC zařvalo – to akceptuje parametry jen skutečně na místech, které jsou pro parametry platné (tzn. např where podmínky “where sloupec = ?” apod.).

Pro ty dolarové zápisy je teda dobré to dělat tak, že pokud ti jde parametr z url, tak si při přípravě vstupů do mapované query iBatisu uděláš:

if (“asc”.equalsIgnoreCase(urlParameter)) {
iBAtisParameters.put(“type”, “asc”));
} else {
iBAtisParameters.put(“type”, “desc”));
}

Je to sice trošku víc psaní, ale jednodušeji to podle mého nejde, aniž by ses nevystavil SQL Injection. Na druhou stranu, tohle by asi iBatis nemohl dost dobře suplovat.

]]> By: Jety http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6804 Jety Mon, 09 Mar 2009 14:30:34 +0000 http://blog.novoj.net/?p=408#comment-6804 Ahoj Honzo, díky za přednášku. Mám dotaz, jakou má výhodu syntaxe $parameter$ oproti #parameter#. Jinými slovy zda se dá obecně říct "Vždy používejte syntaxy #parameter# a nikdy $parameter$, abyste neriskovali SQL injection?". Btw. Ten powerpoint je příjemně přehledný, tuším, že to dalo dost práce. Jety Ahoj Honzo, díky za přednášku. Mám dotaz, jakou má výhodu syntaxe $parameter$ oproti #parameter#. Jinými slovy zda se dá obecně říct “Vždy používejte syntaxy #parameter# a nikdy $parameter$, abyste neriskovali SQL injection?”.

Btw. Ten powerpoint je příjemně přehledný, tuším, že to dalo dost práce.
Jety

]]> By: Petr http://blog.novoj.net/2009/03/04/podcast-zaznam-z-prednasky-ibatis-sqlmaps/comment-page-1/#comment-6750 Petr Fri, 06 Mar 2009 12:33:56 +0000 http://blog.novoj.net/?p=408#comment-6750 Super přednáška. Potvrzuji, že učící křivka se počítá na hodiny. Používal jsem iBatis ve spojení se springem, který také řídil transakce a nezaznamenal jsem jediný problém. Jako náhrada JdbcTemplate je ideální. Super přednáška. Potvrzuji, že učící křivka se počítá na hodiny. Používal jsem iBatis ve spojení se springem, který také řídil transakce a nezaznamenal jsem jediný problém. Jako náhrada JdbcTemplate je ideální.

]]>