В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

PHP

1780 membersпожаловаться на группу
2020 April 27

A

Adel in PHP
Volodymyr Melko
https://github.com/gajus/slonik#routing-queries-to-different-connections
мне кажется или тут запросы вида insert from select будут в слейв фигачить?
GitHub
gajus/slonik
A PostgreSQL client with strict types, detailed logging and assertions. - gajus/slonik
вообще бредятина. так вот поиском по тексту решать. а так, там во время write запроса, и селекты надо из мастера таскать.
источник
18:18пожаловаться#1

A

Aleksandr Khristenko in PHP
Pavel "Al'gerd" Patapau
А  разница между темплейт литералами и " в пхп в том что нельзя использовать выражения|константы?
темплейт литералы могут быть еще теггироваными, т.е. есть легкая возможность передать уже разобранный на части литерал внутрь функции
источник
18:26пожаловаться#2

SP

Sergey Protko in PHP
именно. то есть вот этот кейс "а что если я случайно передам параметр без этой $sql функции" просто закрывается как класс
источник
18:27пожаловаться#3

SP

Sergey Protko in PHP
для php тебе надо будет что-то что будет предоставлять доп гарантии что никто не накосячит
источник
18:27пожаловаться#4

SP

Sergey Protko in PHP
для js у тебя в функцию-тэг уже приходят куски строк отдельно и параметры отдельно, и там ты уже собираешь как тебе надо в контролируемых условиях
источник
18:28пожаловаться#5

SP

Sergey Protko in PHP
но для разработчика это выглядит как стандартная интерполяция
источник
18:28пожаловаться#6

SP

Sergey Protko in PHP
оч мощная штука для построения примитивных dsl
источник
18:29пожаловаться#7

AM

Artem Molotov in PHP
Sergey Protko
для js у тебя в функцию-тэг уже приходят куски строк отдельно и параметры отдельно, и там ты уже собираешь как тебе надо в контролируемых условиях
а что мешает в js передать параметр как часть строки?
источник
18:29пожаловаться#8

AM

Artem Molotov in PHP
там есть какая-то проверка от этого?
источник
18:29пожаловаться#9

AM

Artem Molotov in PHP
хотя там неиспользование ${}  будет заметным
источник
18:30пожаловаться#10

AM

Artem Molotov in PHP
и нужно плюсовать
источник
18:30пожаловаться#11

A

Aleksandr Khristenko in PHP
Sergey Protko
для php тебе надо будет что-то что будет предоставлять доп гарантии что никто не накосячит
Так и в пхп можно так сделать элементарно. Делаем, чтобы все функции, которые выполняют какую-то работу в базе принимали не строку, а объект. И делаем функцию преобразования строки в этот объект.
В слонике, кмк так и сделано.
источник
18:30пожаловаться#12

AM

Artem Molotov in PHP
всё, вкурил
источник
18:30пожаловаться#13

SP

Sergey Protko in PHP
Artem Molotov
а что мешает в js передать параметр как часть строки?
execute('raw string ' + inject) // fails on typecheck
execute(`raw string ${inject}`) // fails on typecheck
execute(sql`raw string ${inject}`) // passes
источник
18:31пожаловаться#14

SP

Sergey Protko in PHP
Aleksandr Khristenko
Так и в пхп можно так сделать элементарно. Делаем, чтобы все функции, которые выполняют какую-то работу в базе принимали не строку, а объект. И делаем функцию преобразования строки в этот объект.
В слонике, кмк так и сделано.
да но в слонике за это тег отвечает. Ты можешь эту проверку и там обойти, суть в том что... ну вот

fn($sql) => "SELECT 1 FROM users where id = $id"


и как бы уже не безопасно и ты это дело никак не распарсишь
источник
18:32пожаловаться#15

AM

Artem Molotov in PHP
Sergey Protko
execute('raw string ' + inject) // fails on typecheck
execute(`raw string ${inject}`) // fails on typecheck
execute(sql`raw string ${inject}`) // passes
я скорее о случае в стиле execute(sql`raw string ` + inject)
источник
18:32пожаловаться#16

AM

Artem Molotov in PHP
но до такого нужно постараться додуматься
источник
18:32пожаловаться#17

A

Aleksandr Khristenko in PHP
Sergey Protko
да но в слонике за это тег отвечает. Ты можешь эту проверку и там обойти, суть в том что... ну вот

fn($sql) => "SELECT 1 FROM users where id = $id"


и как бы уже не безопасно и ты это дело никак не распарсишь
Ну, тэг там это просто вызов функции.
Только передается не голая строка а уже распашренная.
источник
18:33пожаловаться#18

SP

Sergey Protko in PHP
Artem Molotov
я скорее о случае в стиле execute(sql`raw string ` + inject)
получишь type error потому что `sql`raw string`` вернет тебе объект
источник
18:33пожаловаться#19

SP

Sergey Protko in PHP
Aleksandr Khristenko
Ну, тэг там это просто вызов функции.
Только передается не голая строка а уже распашренная.
я вкурсе)
источник
18:33пожаловаться#20