Posté par Marotte ⛧ .
En réponse au journal Fin du monde en vue ?.
Évalué à 2.
Dernière modification le 15 septembre 2016 à 17:29.
points d'interrogation simples d'un prepared statement (et si tu attends une chaine comme paramètre bah t'es baisé, "; drop table" est bien une chaine valide)
C’est bien pour ça que j’ai parlé de vérifier les valeurs des variables…
Si j’ai envoyé la requête préparée 'UPDATE table SET truc=? WHERE id=?' et qu’ensuite j’envoie "'; drop table machin;" comme valeurs, si le SGBD ne contrôlait pas la tronche des paramètres qu’il passe à la requête préparée on se retrouverait bien à exécuter une truc (du genre) 'UPDATE table SET truc=''; drop table machin;' WHERE id=''; drop table machin;''
ton exemple c'est pas un prepared statement donc je vois pas le rapport avec le sujet des prepared statement :)
Je sais que ce n’est pas un prepared statement et qu’un prepared statement ne consiste pas simplement à répéter une requête avec des paramètres différents depuis le code applicatif.
Je ne dis pas qu’on peut reproduire l’ensemble des fonctionnalités des prepared statement côté applicatif (c’est faux, puisse qu’il s’agit d’abord d’une fonctionnalité du moteur SQL), donc que l’on pourrait s’en passer, je dis simplement que la fonctionnalité "je me protège des injections SQL" peut quant à elle tout à fait l’être… Néanmoins je n’y vois aucun avantage, effectivement…
Posté par Marotte ⛧ .
En réponse au journal Fin du monde en vue ?.
Évalué à -1.
Dernière modification le 14 septembre 2016 à 22:39.
J’utilise les prepared statements, je sais que c’est plus sûr, c’est aussi plus pratique à coder et très souvent plus performant. C’est inévitable de passer par là en faisant du SQL. Cependant je me suis toujours poser une question.
Prepared statements are resilient against SQL injection, because parameter values, which are transmitted later using a different protocol, need not be correctly escaped. If the original statement template is not derived from external input, SQL injection cannot occur.
Les variables que l’on va « jouer » contre ce template dérivent bien bien d’une source extérieure… Seulement le SGBD va pouvoir… ne pas se faire avoir… car il a d’un côté un modèle et de l’autre une liste de paramètres. On se repose sur l’implémentation du SGBD (et aussi des bibliothèques que l’on utilise).
Cela dit, implémenter ce mécanisme coté code ne semble pas insurmontable. Si on utilise des chaînes modèles (qui peuvent même être des constantes) avec des placeholders et que l’on "sanitize" chaque variable individuellement on se met à l’abris des injections SQL.
Évidemment après si on construit sa requête à coup de simples concaténations à l’arrache, c’est sûr…
Posté par Marotte ⛧ .
En réponse au message Manager VNC.
Évalué à 2.
Dernière modification le 12 septembre 2016 à 16:43.
genre le truc capable de scanner le réseau à la recherche des pc ayant VNC d'activés.
nmap ?
Je n’ai pas les options exactes en tête mais c’est ce que j’utiliserais pour faire ça.
À partir de la liste obtenue, un coup de awk (ou du langage de ton choix) pour générer les fichiers de conf.
Il faudra lancer ce script plusieurs fois car si au moment ou tu scan avec nmap, une machine qui a VNC, mais qui est éteinte à ce moment là, ne remontera pas, bien évidement.
S’il y a un fichier de conf par host à générer c’est parfait. Les fichiers pour les hôtes détectés lors de la première passe ne seront pas effacés aux passes suivantes.
les PC sans Windows, ça a existé et ça existe toujours quand on cherche bien, mais ça ne se vend pas.
Il y a des PC sans OS chez tous les gros vendeurs sur le net et n’importe quel « assembleur du coin » le propose également.
Après c’est sûr que si « achat de quoi que ce soit » = Auchan ou la FNAC, là je dirais que le problème se situe aussi au niveau de l’interface sol-caddie…
J’utilise Linux et des logiciels libres depuis plus de dix ans, au taf je privilégie les solutions et technologies libres, ça ne m’empêche pas de souhaiter être au courant de ce que fait Apple, Oracle ou encore IBM ou Microsoft, même si ça ne concerne pas le libre.
Je pense qu’il est important de « connaître la concurrence »
se foutre de la gueule de chaque keynote
Apple le cherche bien avec son grand barnum médiatique… Cependant j’avoue avoir trouvé la fin du journal un peu facile (la vieille rengaine sur le mp3 ou la souris…) et surtout dangereuse. Oui dangereuse ! Il y en aura bien des gens pour prendre ce journal au premier degré… C’est comme ça qu’un jour aux RMLL on entendra un petit jeune s’écrier : « C’est bien Apple qui a inventé le lecteur MP3 portable bordel, je l’ai même lu dans un journal linuxéfair ! »
Posté par Marotte ⛧ .
En réponse au journal Flash info.
Évalué à 4.
Dernière modification le 08 septembre 2016 à 01:41.
Je subis aussi. C’est vraiment chiant. Leur client lourd est très bien foutu, le client web c’est vraiment une régression. Par exemple l’affichage qui n’est pas « en temps réel » lorsque l’on fait un scrolling d’une liste, et les temps de réponse de l’interface, plus longs, de manière générale…
Il faut en plus de flash un autre plugin VMWare… bref… Je comprends pas. Peut-être qu’ils se disent que la webapp c’est cheap, c’est fait vite fait en montant une start-up de djeunz, alors que le natif c’est un truc de dino dégarnis, qui coûtent un bras en salaire…
Du coup le client se tape de la merde.
Je me tape une autre appli de gestion « full flash » elle est pénible aussi…
si la machine est fluide sous linux, depuis la clef USB
Tu risques de noter des lenteurs pour charger les programmes (mais pas de problème de fluidité une fois le programme chargé) car la lecture d’une clé USB est plus lente que la lecture d’un disque SATA. Donc le boot aussi prendra quand même un certain temps, il faut te dire que ça ira plus vite une fois le système installé sur le disque dur…
8 heures de transport ?! 1/3 de la journée passée dans la voiture/le train/… Franchement faut en vouloir, pas avoir de vie personnelle ou pas avoir besoin de dormir…
Le plus que j’ai fait c’est 2×1h30 (Tours → Orléans → Tours) et je trouve que c’est déjà un exploit :)
Le silence (CM avec une carte graphique intégrée a priori)
Il y a des cartes graphiques avec refroidissement passif (sans ventilo).
Mais vu ton usage (pas de gros besoins niveau affichage) un chipset intégré à la carte-mère me semble plus adapté en effet. Intel est ce qui est mieux supporté par Linux.
Encore là ça va. Le « ⋅e⋅s » même le PCF l’emploie… avec un tiret ou un point… passe encore…
Par exemple ici : « à tout⋅e⋅s » ça permet de raccourcir la sempiternelle formule : « à toutes et à tous ».
Moi tant qu’on emploie pas des énormités comme « joueureuse » ou « lea » (ce qui n’est pas le cas dans ce journal), je vais laisser pisser, par signe d’ouverture :)
Donc même si on classe les réponses rigolotes avec la première catégorie il resterait 60% de gens qui votent comme il se doit « pertinent ou inutile », 60% c’est bien assez pour que le système soit viable et efficace.
dérouter les gens de bonne foi qui essayent d'utiliser le serveur
Les gens de bonnes foi amenés à se connecter en SSH tu peux très bien leur communiquer un port alternatif…
Pour un service mail par exemple ça serait un peu plus galère (les clients mail sont configurés avec les ports par défaut), mais SSH ce n’est pas le bon exemple.
# Formatage
Posté par Marotte ⛧ . En réponse au message espace dans une chaine et commande tar. Évalué à 4.
Bonjour,
Utilise la balise markdown qui va bien pour poster ton code ici (https://linuxfr.org/wiki/aide-edition#code) parce que là c’est illisible…
Pourquoi pas simplement :
g="--newer-time=\"${ddate})\""?```
[^] # Re: faudrait donner quelques explications.
Posté par Marotte ⛧ . En réponse au journal Fin du monde en vue ?. Évalué à 2. Dernière modification le 15 septembre 2016 à 17:29.
C’est bien pour ça que j’ai parlé de vérifier les valeurs des variables…
Si j’ai envoyé la requête préparée 'UPDATE table SET truc=? WHERE id=?' et qu’ensuite j’envoie "'; drop table machin;" comme valeurs, si le SGBD ne contrôlait pas la tronche des paramètres qu’il passe à la requête préparée on se retrouverait bien à exécuter une truc (du genre) 'UPDATE table SET truc=''; drop table machin;' WHERE id=''; drop table machin;''
Je sais que ce n’est pas un prepared statement et qu’un prepared statement ne consiste pas simplement à répéter une requête avec des paramètres différents depuis le code applicatif.
Je ne dis pas qu’on peut reproduire l’ensemble des fonctionnalités des prepared statement côté applicatif (c’est faux, puisse qu’il s’agit d’abord d’une fonctionnalité du moteur SQL), donc que l’on pourrait s’en passer, je dis simplement que la fonctionnalité "je me protège des injections SQL" peut quant à elle tout à fait l’être… Néanmoins je n’y vois aucun avantage, effectivement…
[^] # Re: faudrait donner quelques explications.
Posté par Marotte ⛧ . En réponse au journal Fin du monde en vue ?. Évalué à 2.
Je pensais plus à ce genre de code :
Il me semble que même si on a laissé un ';drop table students' dans l’un des éléments du tableau (déjà il faut le faire…) ça ne va pas fonctionner.
[^] # Re: faudrait donner quelques explications.
Posté par Marotte ⛧ . En réponse au journal Fin du monde en vue ?. Évalué à -1. Dernière modification le 14 septembre 2016 à 22:39.
J’utilise les prepared statements, je sais que c’est plus sûr, c’est aussi plus pratique à coder et très souvent plus performant. C’est inévitable de passer par là en faisant du SQL. Cependant je me suis toujours poser une question.
Les variables que l’on va « jouer » contre ce template dérivent bien bien d’une source extérieure… Seulement le SGBD va pouvoir… ne pas se faire avoir… car il a d’un côté un modèle et de l’autre une liste de paramètres. On se repose sur l’implémentation du SGBD (et aussi des bibliothèques que l’on utilise).
Cela dit, implémenter ce mécanisme coté code ne semble pas insurmontable. Si on utilise des chaînes modèles (qui peuvent même être des constantes) avec des placeholders et que l’on "sanitize" chaque variable individuellement on se met à l’abris des injections SQL.
Évidemment après si on construit sa requête à coup de simples concaténations à l’arrache, c’est sûr…
[^] # Re: krdc si tu utilises KDE ?
Posté par Marotte ⛧ . En réponse au message Manager VNC. Évalué à 2. Dernière modification le 12 septembre 2016 à 16:43.
nmap ?
Je n’ai pas les options exactes en tête mais c’est ce que j’utiliserais pour faire ça.
À partir de la liste obtenue, un coup de awk (ou du langage de ton choix) pour générer les fichiers de conf.
Il faudra lancer ce script plusieurs fois car si au moment ou tu scan avec nmap, une machine qui a VNC, mais qui est éteinte à ce moment là, ne remontera pas, bien évidement.
S’il y a un fichier de conf par host à générer c’est parfait. Les fichiers pour les hôtes détectés lors de la première passe ne seront pas effacés aux passes suivantes.
# Un autre lien
Posté par Marotte ⛧ . En réponse au message probleme d'argument. Évalué à 2.
https://www.postgresql.org/docs/9.2/static/libpq-pgpass.html
[^] # Re: algo
Posté par Marotte ⛧ . En réponse au journal DeuSu, un moteur de recherche libre avec son propre index. Évalué à 3.
« Comment on appelle six putes allemandes ?
- Six sauteuses boches. »
Je passe directement par la fenêtre…
[^] # Re: Il faut lire
Posté par Marotte ⛧ . En réponse au journal [Bookmark] 8 ans de procédure pour... rien. Évalué à -1.
Il y a des PC sans OS chez tous les gros vendeurs sur le net et n’importe quel « assembleur du coin » le propose également.
Après c’est sûr que si « achat de quoi que ce soit » = Auchan ou la FNAC, là je dirais que le problème se situe aussi au niveau de l’interface sol-caddie…
# Va falloir être soigneux les gens…
Posté par Marotte ⛧ . En réponse au journal Tout simplement E P I Q U E. Évalué à 10.
J’attends la prochaine version qui intégrera un GPS afin d’avoir une application sur ma smartwatch pour les retrouver en cas de perte.
[^] # Re: J'ai déjà entendu ça quelque part
Posté par Marotte ⛧ . En réponse au journal Tout simplement E P I Q U E. Évalué à 4.
Polycopie.
[^] # Re: J'ai déjà entendu ça quelque part
Posté par Marotte ⛧ . En réponse au journal Tout simplement E P I Q U E. Évalué à 10.
Faut pas mettre des œillères hein…
J’utilise Linux et des logiciels libres depuis plus de dix ans, au taf je privilégie les solutions et technologies libres, ça ne m’empêche pas de souhaiter être au courant de ce que fait Apple, Oracle ou encore IBM ou Microsoft, même si ça ne concerne pas le libre.
Je pense qu’il est important de « connaître la concurrence »
Apple le cherche bien avec son grand barnum médiatique… Cependant j’avoue avoir trouvé la fin du journal un peu facile (la vieille rengaine sur le mp3 ou la souris…) et surtout dangereuse. Oui dangereuse ! Il y en aura bien des gens pour prendre ce journal au premier degré… C’est comme ça qu’un jour aux RMLL on entendra un petit jeune s’écrier : « C’est bien Apple qui a inventé le lecteur MP3 portable bordel, je l’ai même lu dans un journal linuxéfair ! »
[^] # Re: utile ?
Posté par Marotte ⛧ . En réponse au journal Flash info. Évalué à 4. Dernière modification le 08 septembre 2016 à 01:41.
Je subis aussi. C’est vraiment chiant. Leur client lourd est très bien foutu, le client web c’est vraiment une régression. Par exemple l’affichage qui n’est pas « en temps réel » lorsque l’on fait un scrolling d’une liste, et les temps de réponse de l’interface, plus longs, de manière générale…
Il faut en plus de flash un autre plugin VMWare… bref… Je comprends pas. Peut-être qu’ils se disent que la webapp c’est cheap, c’est fait vite fait en montant une start-up de djeunz, alors que le natif c’est un truc de dino dégarnis, qui coûtent un bras en salaire…
Du coup le client se tape de la merde.
Je me tape une autre appli de gestion « full flash » elle est pénible aussi…
[^] # Re: spin down ?
Posté par Marotte ⛧ . En réponse au journal Du stockage, du stockage :). Évalué à 3.
Si les disques sont en RAID il vont pas s’arrêter souvent.
[^] # Re: disques durs fatigués ?
Posté par Marotte ⛧ . En réponse au message Je me lance dans linux. Évalué à 4.
Tu risques de noter des lenteurs pour charger les programmes (mais pas de problème de fluidité une fois le programme chargé) car la lecture d’une clé USB est plus lente que la lecture d’un disque SATA. Donc le boot aussi prendra quand même un certain temps, il faut te dire que ça ira plus vite une fois le système installé sur le disque dur…
[^] # Re: Petit retour
Posté par Marotte ⛧ . En réponse au journal Trouver un développeur. Évalué à 7.
8 heures de transport ?! 1/3 de la journée passée dans la voiture/le train/… Franchement faut en vouloir, pas avoir de vie personnelle ou pas avoir besoin de dormir…
Le plus que j’ai fait c’est 2×1h30 (Tours → Orléans → Tours) et je trouve que c’est déjà un exploit :)
# Silence
Posté par Marotte ⛧ . En réponse au message Conseil matériel bureautique. Évalué à 2.
Il y a des cartes graphiques avec refroidissement passif (sans ventilo).
Mais vu ton usage (pas de gros besoins niveau affichage) un chipset intégré à la carte-mère me semble plus adapté en effet. Intel est ce qui est mieux supporté par Linux.
[^] # Re: .
Posté par Marotte ⛧ . En réponse au journal Trouver un développeur. Évalué à 9.
Ya bien que des parisiens pour considérer que Grenoble, Tours ou Évreux c’est "la campagne"…
# Bonjour
Posté par Marotte ⛧ . En réponse au journal Trouver un développeur. Évalué à 6.
et
Cette équipe de développeurs ce sont des prestataires (ou des bénévoles ?) ou bien tu recrutes toute une équipe d’un coup ?
# Keynote
Posté par Marotte ⛧ . En réponse au journal Grosse fatigue.... Évalué à 10.
[^] # Re: et les sites d'archive ?
Posté par Marotte ⛧ . En réponse au message Putain de continuum ! où est passée la spec d'IPOT. Évalué à 3.
Ce n’est pas vrai dans tous les continuum espace-temps.
[^] # Re: Plus d'eau sur terre
Posté par Marotte ⛧ . En réponse au journal "Tant pis, ce seront nos enfants qui paieront". Évalué à 5.
Un
kill -15 PID?[^] # Re: Heureusement que...
Posté par Marotte ⛧ . En réponse au journal Framinetest Édu : un serveur Minetest pour l'éducation. Évalué à -1. Dernière modification le 04 septembre 2016 à 13:03.
Encore là ça va. Le « ⋅e⋅s » même le PCF l’emploie… avec un tiret ou un point… passe encore…
Par exemple ici : « à tout⋅e⋅s » ça permet de raccourcir la sempiternelle formule : « à toutes et à tous ».
Moi tant qu’on emploie pas des énormités comme « joueureuse » ou « lea » (ce qui n’est pas le cas dans ce journal), je vais laisser pisser, par signe d’ouverture :)
Tu as raison ça va être encore plus pratique :/
[^] # Re: Excusez-moi d'avance
Posté par Marotte ⛧ . En réponse au journal Journal de l'epoésie. Évalué à 3.
À toi de ne pas oublier,
Quand une année aura passé.
De cet exercice réitérer,
Tu devras te charger !
Le dernier jour du moi d’août,
Nul besoin d’avoir le moindre doute,
Cette date de fin de l’été,
Me paraît toute indiquée.
[^] # Re: Karmageddon
Posté par Marotte ⛧ . En réponse au message Karma LinuxFR − objectifs et méthodes ?. Évalué à 2.
Donc même si on classe les réponses rigolotes avec la première catégorie il resterait 60% de gens qui votent comme il se doit « pertinent ou inutile », 60% c’est bien assez pour que le système soit viable et efficace.
[^] # Re: Peucrédible
Posté par Marotte ⛧ . En réponse au journal Un ransomware tout à fait déloyal ... et inquiétant. Évalué à 10.
Les gens de bonnes foi amenés à se connecter en SSH tu peux très bien leur communiquer un port alternatif…
Pour un service mail par exemple ça serait un peu plus galère (les clients mail sont configurés avec les ports par défaut), mais SSH ce n’est pas le bon exemple.