SQL Ready | Базы Данных

🖥 Держите хорошую напоминалку с порядком работы операторов в запросе!

Эта шпаргалка поможет понять, в каком порядке вызываются SQL операторы и как правильно писать запросы, учитывая этот порядок.

➡️ SQL Ready | #шпора

Подборка популярных каналов по информационной безопасности и этичному хакингу:

🔐 infosec — ламповое сообщество, которое публикует редкую литературу, курсы и полезный контент для ИБ специалистов любого уровня и направления.

😈 Social Engineering — самый крупный ресурс в Telegram, посвященный этичному Хакингу, OSINT и социальной инженерии.

💬 Вакансии в ИБ — актуальные предложения от самых крупных работодателей и лидеров рынка в сфере информационной безопасности.

Если надоело читать разные каналы по программированию, то вот вам хороший канал

Это канал с новостями программирования, который стоит читать ежедневно

📌 Ссылочка: @umnyiprogrammist

Как защитить свои запросы от SQL-инъекций?

Если вы используете данные, введенные пользователем, напрямую в SQL запросах, вы рискуете дать доступ к вашей БД вредоносному коду.

Разберем, как НЕ нужно писать запросы, и какая практика обезопасит вас от SQL Injection.

Например, для авторизации пользователя проверяем его существование в нашей БД:

SELECT * FROM users WHERE username = '$username' AND password = '$password'

Но что если юзер в поле логин решил ввести следующее:

' OR '1'='1'

Тогда запрос приобретет вид:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '$password'

И поскольку для запроса поле username остается пустым, левая часть оператора OR будет истиной, запрос вернет пользователю все учетные записи из БД, и тот сможет авторизоваться под любой из них.

Решение — использование параметризованных запросов и placeholders вида %s для PostgreSQL.

Перепишем запрос с помощью Python, но условимся, что уже подключены к БД и объекту курсора для выполнения запросов:

username = input()
password = input()

sql = "SELECT * FROM users WHERE username = %s AND password = %s;"
cur.execute(sql, (username, password))  # метод объекта курсора, выполняющий запрос

results = cur.fetchall() # возвращает все строки результата запроса

И не забудем закрыть подключение к БД и объекту курсора.

🔥 Поэтому! Используйте параметризацию данных или ORM, внимательно настраивайте валидацию этих данных и вы точно избежите утечек связанными с SQL-инъекциями.

➡️ SQL Ready | #практика

Mockaroo — это онлайн-инструмент для генерации фейковых данных в различных форматах (JSON, CSV, SQL и др.), идеально подходящий для тестирования приложений и прототипирования.

⛓ Ссылочка: mockaroo.com

➡️ SQL Ready | #ресурс

Mockaroo — это онлайн-инструмент для генерации фейковых данных в различных форматах (JSON, CSV, SQL и др.), идеально подходящий для тестирования приложений и прототипирования.

⛓ Ссылочка: mockaroo.com

➡️ SQL Ready | #ресурс

🖥 Базовые методы для работы с таблицами

В этой шпаргалке собраны самые важные табличные методы, которые нужны для построения запросов в таблицы

➡️ SQL Ready | #шпора

Решаем алгоритмические задачи с собеседований в канале Backend Interviewer

Научитесь успешно проходить секции лайвкодинг!

Присоединяйтесь @backend_interviewer

Git How To — сайт, который предлагает пошаговые руководства и практические примеры для изучения системы контроля версий Git, облегчая процесс освоения её основных команд и функционала.

📌 Ссылочка: githowto.com

➡️ SQL Ready | #ресурс

Очередная гифка, но на которой изображены блокировки баз данных, и их ключевые различия, сохраняем 👍

Блокировка — временное ограничение на выполнение некоторых операций обработки данных. Она предотвращают одновременный доступ к данным для обеспечения целостности и консистентности данных.

➡️ SQL Ready | #ресурс