[B! SQL][article] efclのブックマーク

Skytable Octave is here | Skytable Blog

efcl 2023/12/12

SkytableのBlueQLについて。 Injection攻撃ができないようにパラメタライズクエリのみのサポート、コメントはなし、1クエリ1ステートメントになっている。また意図的に明確になるようにクエリの表現を調整している。

SQL
article

リンク

Defending new vectors: Threat actors attempt SQL Server to cloud lateral movement | Microsoft Security Blog

Microsoft security researchers recently identified a campaign where attackers attempted to move laterally to a cloud environment through a SQL Server instance. This attack technique demonstrates an approach we’ve seen in other cloud services such as VMs and Kubernetes cluster, but not in SQL Server. The attackers initially exploited a SQL injection vulnerability in an application within the target

efcl 2023/10/07

SQL Serverへの侵入から、`xp_cmdshell`を有効化してコマンドインジェクションが可能な状態にして、OSコマンドを使って横に展開していく攻撃。 webhook.site にデータを送って確認、インスタンスメタデータの取得して展開していく

リンク

テストを書きたいプログラムがSQLの固まりだ - やっとむでぽん

(2009.3.5 テストデータについてちょっと追記) Working Effectively with Legacy Codeを読んでいます。前半、テストの意義とか概念の紹介(test harness, seamなど)はすばらしい。後半の、個別の状況への対策も、整理されていてありがたいです。自分でも使っているおなじみの手法もあれば、目ウロコなこともある。でも、こういう↓章があったらよかったなあ。「テストを書きたいけれどプログラムが巨大なSQLの固まりだ」いま仕事をしている保守プロジェクトが、そういう状況なわけです。もうすこし整理すると、テーブル数が多く(100以上)、重複した項目も多い(非正規化) ひとつの処理をするのにだいたい、最低5つ以上(10を超えるものも多い)のテーブルを扱っている(参照ならJOINやUNION、更新ならそれぞれにUPDATE/INSERT) 処理を走らせ

efcl 2023/09/17

SQLのテスト

リンク

{JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF

Team82 Research {JS-ON: Security-OFF}: Abusing JSON-Based SQL to Bypass WAF Executive SummaryTeam82 has developed a generic bypass of industry-leading web application firewalls (WAF). The attack technique involves appending JSON syntax to SQL injection payloads that a WAF is unable to parse. Major WAF vendors lacked JSON support in their products, despite it being supported by most database engine

efcl 2022/12/11

今時のRDBはJSONをサポートしてるけどWAFは対応してなかったので、クエリにJSON構文を混ぜると大体のWAFを突破できてしまったという話。

リンク

Client-Side SQL Query Parsing with ANTLR

Multiple Queries in the Console Query Editor Rockset Console’s query editor allows users to type and run queries over collections. Until now, however, whatever was typed in the editor was run and parsed as a single query. This means that, for a user, it wasn’t that easy to switch between multiple queries in our editor. They would have to comment out the queries they didn’t want to run, or keep all

efcl 2019/11/10

ANTLRを使ったSQL構文のパーサをJavaScriptで書く方法についての記事

リンク

Stop using Knex.js (and earn $30)

This is true about any SQL query builder. I chose to use knex.js as an example because it is the most popular SQL query builder in the Node.js ecosystem and we need an example. tl;dr; Knex.js (and other query builders) was designed to be a building block for ORMs; it does not add value when majority of the query is static. If you are evaluating alternative to Knex.js, I have since published anothe

efcl 2019/08/09

ORMなKnex.jsとSQLクエリについて

リンク

SQLアンチパターンもりもりDBを設計しよう！ - Qiita

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要名著SQLアンチパターンを読み終えたので、それの復習のために悍ましいデータベースを作ろうと思った。まず前半では、SQLアンチパターンを意図的に盛り込み、目も当てられない酷い設計をします。そのあとリファクタリングを行なったER図に書き直していきます。なお、真面目に書くと参考書の丸写しになってしまうので、この記事はアンチパターンもりもりのER図を見て嫌悪感を学習し、設計に役立てようという趣向のもと、詳しい説明は省きます。とても良い本なので読んでください。想定するシステムの概要と状況目的において適切かはわかりませんが、とり

efcl 2019/06/23

SQLアンチパターンのテーブルをリファクタリング

SQL
article

リンク

はてなブックマーク

タグ

関連タグで絞り込む (4)

SQLとarticleに関するefclのブックマーク (7)

お知らせ

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

今週のはてなブックマーク数ランキング（2024年10月第3週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス