27.04.2018, 14:06
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от ГеннадийС
|
|
запрос без пароля и логина не будет выполнен.
|
Опять двадцать пять. |
|
27.04.2018, 14:09
|
|
Профессор
|
|
Регистрация: 04.12.2012
Сообщений: 3,728
|
|
|
Сообщение от ГеннадийС
|
|
Что он сможет сделать?
|
Запустить цикл во вкладке, который будет отправлять на ваш сервер 500 запросов в секунду на выгрузку всех записей из всех доступных ему таблиц.
Или это не стоит внимания? |
|
27.04.2018, 14:09
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Nexus
|
|
У единственного пользователя БД, других нет и у этого пользователя права только на чтение записей.
|
Даже и не знаю как комментировать.  |
|
27.04.2018, 14:11
|
|
Профессор
|
|
Регистрация: 04.12.2012
Сообщений: 3,728
|
|
|
laimas, в заданных условиях как-либо навредить (кроме опущенных случаев) злоумышленник не сможет, верно? )
|
|
27.04.2018, 14:23
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
Сообщение от Nexus
|
Запустить цикл во вкладке, который будет отправлять на ваш сервер 500 запросов в секунду на выгрузку всех записей из всех доступных ему таблиц.
Или это не стоит внимания?
|
Такая атака возможна на любом сервере. Возможность блокирования такого рода атак всегда должна предусматриваться. |
|
27.04.2018, 14:24
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Nexus
|
|
в заданных условиях как-либо навредить (кроме опущенных случаев) злоумышленник не сможет, верно?
|
Если иметь привилегию только на SELECT, то нет. Но в чем смысл этого? Строковое значение (тело запроса) прописанное клиентом, а не сервером, никак не снимает нагрузку на сервер, запрос все равно сервер исполнять будет. Уже полнейшая глупость довода, что это разгружает сервер. А вот нагадить серверу можно, он же только исполнять будет, не проверяя. |
|
27.04.2018, 14:28
|
|
Профессор
|
|
Регистрация: 04.12.2012
Сообщений: 3,728
|
|
laimas, меня интересовало можно или нет, ни больше, ни меньше.
Если это возможно, то я обязан это знать, поэтому вас и мучал, простите
|
|
27.04.2018, 14:31
|
|
Интересующийся
|
|
Регистрация: 27.04.2018
Сообщений: 26
|
|
|
Тема называется "Долой backend!" В первых сообщениях предлагалось не использовать серверные языки программирования и обойтись минимумом программного обеспечения на сервере. Базы данных нужны всё равно. Я и хотел обсудить такой способ построения сайта.
В начале обсуждения предлагалось компилировать javascript, как я понял, с целью сокрытия сведений о структуре базы данных.
Последний раз редактировалось ГеннадийС, 27.04.2018 в 14:34.
|
|
27.04.2018, 14:37
|
|
Профессор
|
|
Регистрация: 14.01.2015
Сообщений: 12,990
|
|
|
Сообщение от Nexus
|
|
меня интересовало можно или нет
|
Да банально просто напишу запрос, который будет ложить SQL сервер, ведь мне же разрешено (!) писать запросы. А писать грамотные запросы, это нужно знать не только структуру таблицы, но и типы полей, что будет подспорьем в плане нагадить. А ведь запросы можно то делать вложенными, ну почему бы не завалить такой доверчивый сервер?  |
|
27.04.2018, 14:38
|
|
Профессор
|
|
Регистрация: 04.12.2012
Сообщений: 3,728
|
|
|
Сообщение от laimas
|
|
Да банально просто напишу запрос, который будет ложить SQL сервер
|
Это мне известно, об этом упоминал. |
|
|
|
