Mais en l’implémentant au niveau des fonctions SQL de PHP on risque de s'embêter beaucoup plus pour faire des choses simples / voulues aussi, pas que pour la balle dans le pied :).
C'est avec ce genre d'idées reçues qu'on se trouve des excuses pour pas faire d'efforts dans cette direction ;)
Et à bien y réfléchir, prendre des exemple comme "les fonctions SQL" c'est pas le bon niveau d'abstraction. Il faut réfléchir au niveau "langage hôte" et "langage client" pour proposer des mécanismes au niveau langage. Et regarder ce qui se fait ailleurs, genre Link en C#. https://en.wikipedia.org/wiki/Language_Integrated_Query
Ben justement, "string" c'est un type fourre tout qui peut contenir n'importe quel langage. Un typage un peu plus poussé forcerait à manipuler des strings pré-parsées … ou des bouts d'AST.
Du coup au lieux de concaténer des strings et de les passer à une fonction qui va l'interpréter comme du SQL, si on a tout simplement pas de fonction qui lancent des requête qui ne font pas d'échappement systématique de toutes les strings raw avant de basculer dans le type "fragment de SQL", par exemple, on a déjà probablement moins de problème vu qu'il faut que le dev s'embête beaucoup plus pour aller se tirer une balle dans le pied …
Quelque part si l'industrialisation n'est pas faite, c'est un problème aussi pour la recherche. Il y a sûrement des questions à se poser sur ce qui coince.
Nan mais qu'on sorte pas le cas de PHPmyAdmin pour parler du cas de l'immense majorité des applications qui sont des applis front-end pour lesquels il faut pas laisser l'utilisateur accéder directement à la BDD des comptes bancaires :)
Oui il faut pouvoir débrancher les automatismes de vérif en cas de besoin, mais le cas "par défaut" c'est qu'il faut pas laisser passer les cas ou la vérif n'est pas faite.
et un processus qui ne voulait pas faire ça au départ mais se retrouve à le faire à cause d’une entrée utilisateur malicieuse, est extrêmement complexe.
On cause de ça depuis tout à l'heure, et on est en train de dire que c'est certainement pas infaisable, voire pas si compliqué, peut être même démontrable mathématiquement si tu utilises des techniques … déjà connues. Le scandale justement à mon avis c'est que ce ne soit pas fait.
bah si c'est encore du domaine de la recherche puisque des trucs qui pourraient être assurés par le compilo sont d'énormes sources de failles de sécu, c'est un non sens. Et dire que ça ne concerne que PHP c'est se fourrer le doigt dans l’œil.
C'est un coup de gueule de ma part qui dépasse largement PHP. Selon moi c'est exactement le même type de scandale qui fait qu'on peut encore avoir des buffers overflow en C alors que c'est une classe de problème largement connue et étudiée, sur laquelle on a tout dit ou presque.
Ce sont des problèmes que la profession devrait prendre à bras le corps, bosser réellement avec des chercheurs sur les spécification des langages et les outils associés. En parsant une entrée en fonction de la grammaire d'un langage, qui devrait être spécifié, on devrait pouvoir avoir une solution générique qui vérifie qu'une chaîne ne s'interprête pas dans ce langage. En typant les variables chaîne pour les annoter avec le langage qu'elles sont supposées contenir, on devrait pouvoir vérifier qu'une fonction qui va générer du SQL ne reçoit pas une entrée qui n'est pas de type "entrée qui est passé par la fonction qui vérifie que la chaîne n'est pas du SQL" …
Sauf qu'on a jamais vraiment su faire parler des chercheurs qui font des langues formelles avec l'industrie sérieusement comme la Méthode_B, les gens qui font des langages comme Haskell ont du mal à parler avec des gens qui font de la vérification … C'est pas les compétences qui manquent. Faut arrêter de se chercher des excuses et se mettre à bosser là dessus sérieusement.
N'importe quoi, on utilise juste pas les bonnes méthodes : les méthodes formelles. On apprend à la fac/l'école les notions de différent langage/d'automate de reconnaissance qui font partie des principes de base.
Et on est pas fichu de spécifier l'ensemble des langages qu'utilise une fonction / une librairie, et de faire des outils qui sont capable de te dire que tu utilise une variable qui provient des entrées extérieures que tu refile sans avoir utilisé de fonction de nettoyage au préalable ?
le choix n'est jamais laissé: si on ne va pas de l'avant, quelqu'un d'autre le fera avant nous et nous serons forcés par la suite de nous soumettre.
Je pense pas que ce soit la raison prépondérante. Le côté "on est obligé de se soumettre" est parfois carrément une conséquence de choix qu'on a fait (ou nos ancètre) dans le passé qui ont des répercutions qu'on avait pas du tout envisagé à l'époque, des "effets secondaires" comme la pollution ou le réchauffement climatique.
La machine s'est emballées et on va peut être devoir régler des problèmes posés par la technique par d'autres techniques. La doctrine progressiste veut que ce soit une sorte de fatalité et que le progrès résoudra bien les problème qu'il engendre. Rien n'est moins sûr.
Entre les bonnes nouvelles électorales et les états d'urgences, le terrorisme et les nouvelles mitigées de la COP ? Lisez une news G'MIC et vous reprendrez foi en l'humanité.
Dans ce cas on peut prendre les choses en sens inverse : si vraiment tu peux pas supporter les puzzles en conditions extrême, tu choisis un autre métier même si c'est bien payé :)
J'avais vu une autre explication : le salaire joue peu sur les tâches ou il faut réfléchir, parce que le défi intellectuel est une motivation en soi, et c'est pas soudain parce qu'on a doublé un salaire que la solution va te venir comme par magie.
Par contre pour les boulots répétitifs et un peu chiant, la motivation financière fonctionne pour améliorer la vitesse d'exécution. Il suffit d'aller un peu plus vite pour gagner plus. Pour résoudre un problème complexe c'est totalement différent.
Éternelle question, est-ce qu'on peut être démocrate avec les ennemis de la démocratie, être ouvert avec les ennemis de l'ouverture ?
En tout cas on note que comme d'habitude, on a le droit de pas aimer les étrangers d'un côté, mais si on veut pas du Front National on est fermé d'esprit.
parce que ça n'a pas spécialement d'impact et que le logiciel reste libre. Après c'est aux électeurs FN de savoir si ils ont envie de respecter l'avis du développeur, sinon.
À part ça on a jamais interdit à un auteur de logiciel libre de s'exprimer, et il n'a pas moins le droit qu'un autre. Et pas plus d'être neutre. C'est pas comme si il avait le pouvoir de lire les fichiers que les autres écrivent, et c'est libre donc on peut regarder si il y a une backdoor avant d'utiliser le logiciel si on est parano.
Personnellement je trouve que ça décridibilise des messages qui mériteraient malgré tout d'être entendus…
Si il y a des questions à se poser, elles sont peut être aussi à se poser du côté des moyens disponibles pour ce genre de recherches. J'ai fortement l'impression que ces moyens sont sans rapports avec ce qui peut se donner dans d'autres domaines, la physique par exemple. Est-ce que ce ne serait pas aussi le résultat d'un mépris pour les sciences humaines qui fait qu'elles ont peu de moyens, et ainsi de suite peu de résultat, donc sont méprisées en retour pour leur faiblesse ?
Je pose la question, je suis pas capable de donner des chiffres de financement. J'ai juste l'impression que les moyens pour faire des expériences sont considérables (tu parles de taille des échantillons) et surtout très compliqués à mettre en place, sur des temps très longs genre au moins 20 ans sur des populations sur lesquelles on a aucun contrôle expérimental et qu'on doit donc se contenter d'observer.
C'est clair, il faut réfléchir ensemble et proposer, c'est la seule manière d'avancer. Culpabiliser, surtout sans vraiment donner d'alternative réaliste, c'est le meilleur moyen de braquer les uns et les autres et de faire pire que du sur place.
Comme dit plus haut, l'écologie c'est un peu plus complexe que uniquement le CO²
Euh, comment dire ?
Le CO2, ce n'est pas un simple "marqueur" de notre emprunte écologique, c'est un facteur qui va durablement impacter le climat, et donc l'écologie en tant que système, de la planète. C'est un problème en soi qui doit être attaqué dans le cadre d'une problématique écologique.
Ça n'empêche évidemment pas de s'attaque à d'autres problématique ou de s'attaquer à celle là en même temps que d'autres, mais c'est complètement fallacieux de relativiser le problème.
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 3.
C'est avec ce genre d'idées reçues qu'on se trouve des excuses pour pas faire d'efforts dans cette direction ;)
Et à bien y réfléchir, prendre des exemple comme "les fonctions SQL" c'est pas le bon niveau d'abstraction. Il faut réfléchir au niveau "langage hôte" et "langage client" pour proposer des mécanismes au niveau langage. Et regarder ce qui se fait ailleurs, genre Link en C#. https://en.wikipedia.org/wiki/Language_Integrated_Query
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 2.
Ben justement, "string" c'est un type fourre tout qui peut contenir n'importe quel langage. Un typage un peu plus poussé forcerait à manipuler des strings pré-parsées … ou des bouts d'AST.
Du coup au lieux de concaténer des strings et de les passer à une fonction qui va l'interpréter comme du SQL, si on a tout simplement pas de fonction qui lancent des requête qui ne font pas d'échappement systématique de toutes les strings raw avant de basculer dans le type "fragment de SQL", par exemple, on a déjà probablement moins de problème vu qu'il faut que le dev s'embête beaucoup plus pour aller se tirer une balle dans le pied …
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 2.
Euh, tu sais le but de faire des tables rondes c'est justement de partager les expériences pour pas réinventer la roue :)
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 2.
Quelque part si l'industrialisation n'est pas faite, c'est un problème aussi pour la recherche. Il y a sûrement des questions à se poser sur ce qui coince.
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 2.
Nan mais qu'on sorte pas le cas de PHPmyAdmin pour parler du cas de l'immense majorité des applications qui sont des applis front-end pour lesquels il faut pas laisser l'utilisateur accéder directement à la BDD des comptes bancaires :)
Oui il faut pouvoir débrancher les automatismes de vérif en cas de besoin, mais le cas "par défaut" c'est qu'il faut pas laisser passer les cas ou la vérif n'est pas faite.
On cause de ça depuis tout à l'heure, et on est en train de dire que c'est certainement pas infaisable, voire pas si compliqué, peut être même démontrable mathématiquement si tu utilises des techniques … déjà connues. Le scandale justement à mon avis c'est que ce ne soit pas fait.
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 2.
bah si c'est encore du domaine de la recherche puisque des trucs qui pourraient être assurés par le compilo sont d'énormes sources de failles de sécu, c'est un non sens. Et dire que ça ne concerne que PHP c'est se fourrer le doigt dans l’œil.
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 4.
C'est un coup de gueule de ma part qui dépasse largement PHP. Selon moi c'est exactement le même type de scandale qui fait qu'on peut encore avoir des buffers overflow en C alors que c'est une classe de problème largement connue et étudiée, sur laquelle on a tout dit ou presque.
Ce sont des problèmes que la profession devrait prendre à bras le corps, bosser réellement avec des chercheurs sur les spécification des langages et les outils associés. En parsant une entrée en fonction de la grammaire d'un langage, qui devrait être spécifié, on devrait pouvoir avoir une solution générique qui vérifie qu'une chaîne ne s'interprête pas dans ce langage. En typant les variables chaîne pour les annoter avec le langage qu'elles sont supposées contenir, on devrait pouvoir vérifier qu'une fonction qui va générer du SQL ne reçoit pas une entrée qui n'est pas de type "entrée qui est passé par la fonction qui vérifie que la chaîne n'est pas du SQL" …
Sauf qu'on a jamais vraiment su faire parler des chercheurs qui font des langues formelles avec l'industrie sérieusement comme la Méthode_B, les gens qui font des langages comme Haskell ont du mal à parler avec des gens qui font de la vérification … C'est pas les compétences qui manquent. Faut arrêter de se chercher des excuses et se mettre à bosser là dessus sérieusement.
[^] # Re: Typage strict
Posté par thoasm . En réponse à la dépêche Sortie de PHP 7.0 - un nouveau départ. Évalué à 1.
N'importe quoi, on utilise juste pas les bonnes méthodes : les méthodes formelles. On apprend à la fac/l'école les notions de différent langage/d'automate de reconnaissance qui font partie des principes de base.
Et on est pas fichu de spécifier l'ensemble des langages qu'utilise une fonction / une librairie, et de faire des outils qui sont capable de te dire que tu utilise une variable qui provient des entrées extérieures que tu refile sans avoir utilisé de fonction de nettoyage au préalable ?
Faut arrêter l'amateurisme d'urgence.
[^] # Re: j'ai adoré...
Posté par thoasm . En réponse à la dépêche G’MIC 1.6.8 : c’est déjà Noël pour les traiteurs d’images !. Évalué à 5.
En cherchant un peu dans mémé Julia on peut sûrement trouver les courbes de mémé Léna.
# Boîte de Pandore
Posté par thoasm . En réponse au journal Technique génétique : on n'arrête pas le progrès (?). Évalué à 6.
Je pense pas que ce soit la raison prépondérante. Le côté "on est obligé de se soumettre" est parfois carrément une conséquence de choix qu'on a fait (ou nos ancètre) dans le passé qui ont des répercutions qu'on avait pas du tout envisagé à l'époque, des "effets secondaires" comme la pollution ou le réchauffement climatique.
Du coups des îles ou des peuplades qui ont très peu participé se retrouvent embarquées dans une aventure un peu malgré elles : http://www.lemonde.fr/planete/article/2015/12/11/cop21-une-nuit-de-negociations-en-tweets_4830191_3244.html
La machine s'est emballées et on va peut être devoir régler des problèmes posés par la technique par d'autres techniques. La doctrine progressiste veut que ce soit une sorte de fatalité et que le progrès résoudra bien les problème qu'il engendre. Rien n'est moins sûr.
# Vous étiez déprimé ces temps ci ...
Posté par thoasm . En réponse à la dépêche G’MIC 1.6.8 : c’est déjà Noël pour les traiteurs d’images !. Évalué à 10.
Entre les bonnes nouvelles électorales et les états d'urgences, le terrorisme et les nouvelles mitigées de la COP ? Lisez une news G'MIC et vous reprendrez foi en l'humanité.
[^] # Re: false
Posté par thoasm . En réponse au journal Le core utile. Évalué à 10.
Tu mens.
[^] # Re: Budget
Posté par thoasm . En réponse au journal La fin de Firefox OS. Évalué à 3.
Dans ce cas on peut prendre les choses en sens inverse : si vraiment tu peux pas supporter les puzzles en conditions extrême, tu choisis un autre métier même si c'est bien payé :)
[^] # Re: Budget
Posté par thoasm . En réponse au journal La fin de Firefox OS. Évalué à 10.
J'avais vu une autre explication : le salaire joue peu sur les tâches ou il faut réfléchir, parce que le défi intellectuel est une motivation en soi, et c'est pas soudain parce qu'on a doublé un salaire que la solution va te venir comme par magie.
Par contre pour les boulots répétitifs et un peu chiant, la motivation financière fonctionne pour améliorer la vitesse d'exécution. Il suffit d'aller un peu plus vite pour gagner plus. Pour résoudre un problème complexe c'est totalement différent.
[^] # Re: Pas très intéressant ...
Posté par thoasm . En réponse au journal Notepad++ et FN ; ou quand un développeur parle d'autre chose que de développement. Évalué à 10.
Éternelle question, est-ce qu'on peut être démocrate avec les ennemis de la démocratie, être ouvert avec les ennemis de l'ouverture ?
En tout cas on note que comme d'habitude, on a le droit de pas aimer les étrangers d'un côté, mais si on veut pas du Front National on est fermé d'esprit.
# Pas très intéressant ...
Posté par thoasm . En réponse au journal Notepad++ et FN ; ou quand un développeur parle d'autre chose que de développement. Évalué à 9.
parce que ça n'a pas spécialement d'impact et que le logiciel reste libre. Après c'est aux électeurs FN de savoir si ils ont envie de respecter l'avis du développeur, sinon.
À part ça on a jamais interdit à un auteur de logiciel libre de s'exprimer, et il n'a pas moins le droit qu'un autre. Et pas plus d'être neutre. C'est pas comme si il avait le pouvoir de lire les fichiers que les autres écrivent, et c'est libre donc on peut regarder si il y a une backdoor avant d'utiliser le logiciel si on est parano.
[^] # Re: Sciences de l'éducation ?
Posté par thoasm . En réponse à la dépêche Les informaticiennes, de la dominance de classe aux discriminations de sexe le 24/11/2015 à Paris. Évalué à 2.
Si il y a des questions à se poser, elles sont peut être aussi à se poser du côté des moyens disponibles pour ce genre de recherches. J'ai fortement l'impression que ces moyens sont sans rapports avec ce qui peut se donner dans d'autres domaines, la physique par exemple. Est-ce que ce ne serait pas aussi le résultat d'un mépris pour les sciences humaines qui fait qu'elles ont peu de moyens, et ainsi de suite peu de résultat, donc sont méprisées en retour pour leur faiblesse ?
Je pose la question, je suis pas capable de donner des chiffres de financement. J'ai juste l'impression que les moyens pour faire des expériences sont considérables (tu parles de taille des échantillons) et surtout très compliqués à mettre en place, sur des temps très longs genre au moins 20 ans sur des populations sur lesquelles on a aucun contrôle expérimental et qu'on doit donc se contenter d'observer.
[^] # Re: Écologie politique
Posté par thoasm . En réponse au journal [HS] Faites chauffer la planète, notre moteur a froid.. Évalué à 2.
C'est clair, il faut réfléchir ensemble et proposer, c'est la seule manière d'avancer. Culpabiliser, surtout sans vraiment donner d'alternative réaliste, c'est le meilleur moyen de braquer les uns et les autres et de faire pire que du sur place.
[^] # Re: Écologie politique
Posté par thoasm . En réponse au journal [HS] Faites chauffer la planète, notre moteur a froid.. Évalué à 2.
Il te dit qu'il faut pas culpabiliser les gens et tu l'accuses de les "excuser" …
[^] # Re: Sur le CO2, un ordre de grandeur
Posté par thoasm . En réponse au journal [HS] Faites chauffer la planète, notre moteur a froid.. Évalué à 1.
Par qui ?
[^] # Re: Sur le CO2, un ordre de grandeur
Posté par thoasm . En réponse au journal [HS] Faites chauffer la planète, notre moteur a froid.. Évalué à 5.
Euh, comment dire ?
Le CO2, ce n'est pas un simple "marqueur" de notre emprunte écologique, c'est un facteur qui va durablement impacter le climat, et donc l'écologie en tant que système, de la planète. C'est un problème en soi qui doit être attaqué dans le cadre d'une problématique écologique.
Ça n'empêche évidemment pas de s'attaque à d'autres problématique ou de s'attaquer à celle là en même temps que d'autres, mais c'est complètement fallacieux de relativiser le problème.
[^] # Re: Dieu n'existe pas
Posté par thoasm . En réponse au journal Paris sous les balles. Évalué à 7.
Mouhahaha je me suis surpassé sur cet avatar, quelle imagination. Une taxe d'existence lol.
[^] # Re: Dieu n'existe pas
Posté par thoasm . En réponse au journal Paris sous les balles. Évalué à 10.
Il n'y a que moi qui existe, vous êtes tous des produits de mon imagination pour me divertir.
[^] # Re: L'honneur est sauf, le droit d'auteur est respecté
Posté par thoasm . En réponse au journal Huit milliards de vidéos vues par jour sur Facebook, dont la majorité seraient volées ! . Évalué à 4.
Pour combien de temps ? https://fr.wikipedia.org/wiki/Selfies_de_singe#D.C3.A9bat_sur_les_droits_d.27auteur
[^] # Re: Notes de bas de page
Posté par thoasm . En réponse au journal Les politiques n'ont pas changé. Évalué à 0.
moi la dernière fois que j'ai essayé je me suis retrouvé avec un [ en exposant et [ … pas de lien correct.