Вакансия

[metaclass]

Знакомый запостил вакансию - Delphi+Oracle. Похоже, что у оной конторы.

В вакансии даже близко нет намека на предполагаемую зарплату. Т.е. зп или черная, или собираются предлагать минимум на собеседовании и смотреть, как отреагирует кандидат.
Город тоже не указан. В теории это Минск.
Неясно, зачем им столько народу на "развитие внутрикорпоративной системы автоматизации".

Видимо, должны или сдохнуть или набрать говнодебилов, указатели не зануляющих и sql собирающих из строк конкатенацией.

Comments

[victorgr.livejournal.com]

> sql собирающих из строк конкатенацией.

Что это значит?

[metaclass.livejournal.com]

Это такой неправильный подход, чреватый уязвимостями sql инъекции и падением производительности при парсинге получающихся от ввода юзера разных запросов(для оракла, как минимум)

примерно так:

string schweineStatus = txtStatus.Text;
sql.Text = 'select Schweine_GUID from Schweinen where Schweine_Status="'+schweineStatus+'"';
sql.Execute();

каждый запрос с разными значениями Status - новый - парсить заново, кроме того. туда можно впихнуть руками что нить вроде 1"; drop table Schweinen; ...
т.е. выполнить произвольный sql код.

а правильно использовать параметры/связываемые переменные:

string schweineStatus = txtStatus.Text;
sql.Text = 'select Schweine_GUID from Schweinen where Schweine_Status=@Status';// запрос всегда одинаковый
sql.Parameters.Add('@Status',...).Value = schweineStatus;//присваиваем параметру значение
sql.Execute();


[victorgr.livejournal.com]

Спасибо за ответ!
Не знал. Теперь буду.

Ну, и понятно почему не знал: в PHP только первый способ используется, как я понимаю :).

[metaclass.livejournal.com]

Точно не помню, но вроде там не все драйвера БД параметры поддерживают.