Банальный, но всё равно очень крутой и полезный ресурс — W3Schools

Сайт, на котором собраны бесплатные онлайн-учебники на разные темы. Есть как справочники, которые помогут вспомнить синтаксис, так и полноценные самоучители.

📌 Ссылочка: schoolsw3.com

➡️ SQL Ready | #ресурс

Репозиторий SQL scripts!

В нем содержится коллекция полезных SQL-запросов и скриптов для различных баз данных, таких как MySQL, PostgreSQL и Microsoft SQL Server.

Ссылочка на него: Github 😸

➡️ SQL Ready | #репозиторий

Очередная гифка, но на которой изображены блокировки баз данных, и их ключевые различия, сохраняем 👍

Блокировка — временное ограничение на выполнение некоторых операций обработки данных. Она предотвращают одновременный доступ к данным для обеспечения целостности и консистентности данных.

➡️ SQL Ready | #ресурс

Git How To — сайт, который предлагает пошаговые руководства и практические примеры для изучения системы контроля версий Git, облегчая процесс освоения её основных команд и функционала.

📌 Ссылочка: githowto.com

➡️ SQL Ready | #ресурс

Mockaroo — это онлайн-инструмент для генерации фейковых данных в различных форматах (JSON, CSV, SQL и др.), идеально подходящий для тестирования приложений и прототипирования.

⛓ Ссылочка: mockaroo.com

➡️ SQL Ready | #ресурс

Как защитить свои запросы от SQL-инъекций?

Если вы используете данные, введенные пользователем, напрямую в SQL запросах, вы рискуете дать доступ к вашей БД вредоносному коду.

Разберем, как НЕ нужно писать запросы, и какая практика обезопасит вас от SQL Injection.

Например, для авторизации пользователя проверяем его существование в нашей БД:

SELECT * FROM users WHERE username = '$username' AND password = '$password'

Но что если юзер в поле логин решил ввести следующее:

' OR '1'='1'

Тогда запрос приобретет вид:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '$password'

И поскольку для запроса поле username остается пустым, левая часть оператора OR будет истиной, запрос вернет пользователю все учетные записи из БД, и тот сможет авторизоваться под любой из них.

Решение — использование параметризованных запросов и placeholders вида %s для PostgreSQL.

Перепишем запрос с помощью Python, но условимся, что уже подключены к БД и объекту курсора для выполнения запросов:

username = input()
password = input()

sql = "SELECT * FROM users WHERE username = %s AND password = %s;"
cur.execute(sql, (username, password))  # метод объекта курсора, выполняющий запрос

results = cur.fetchall() # возвращает все строки результата запроса

И не забудем закрыть подключение к БД и объекту курсора.

🔥 Поэтому! Используйте параметризацию данных или ORM, внимательно настраивайте валидацию этих данных и вы точно избежите утечек связанными с SQL-инъекциями.

➡️ SQL Ready | #практика