[решено] Отсутствует ID, SQLQuery как сохранять?

[debi12345]

Всё остальное на сегодняшний день: "миф о шифровании".

Нет - не миф, если удастся гарантировать недоступность содержимого приватного ключа RSA-пары. В случае iKey это реально достигается (полной привязкой к владельцу ключа,знающего пароль) - ключи там (в микроЭВМ) не хранятся в доступном (считываемом для брутфорса и т.п.) виде, а сличаются с публичным ключом-сертификатом. То есть если даже украсть (кейлоггером) пароль от ключа, то все равно нужно иметь этот ключ на руках - а он зашит в iKey-брелке, который не скопируешь и не склонируешь.

[vitaly_l]

То есть если даже украсть (кейлоггером) пароль от ключа, то все равно нужно иметь этот ключ на руках - а он зашит в iKey-брелке, который не скопируешь и не склонируешь.

А в момент прочтения данных, клиентом как их защитить? Программист же может видеть: всё - что происходит на машине "клиента". Так что брелок-ключ, защитит, только до тех пор пока клиент им не воспользуется. А как только воспользуется можно прочитать всё вместе с клиентом.

[Снег Север]

Н-да... не густо.

Если у кого паранойя, то нужно отказываться от MySQL и использовать другие БД.

Добавлено спустя 7 минут 7 секунд:

Это от кого шифрование? От сис. админов завтрашней смены?

А причем тут сисадмин? Он в базе увидит только зашифрованные данные. Пароль-то в ф-и ENCODE и DECODE подставляется при запросе, клиентским приложением.

[debi12345]

А как только воспользуется можно прочитать всё вместе с клиентом.

Используя тулзу удаленного доступа к экрану - при этом оператор ключа будут видеть странную хрень (прога сама открывает меню, за кого-то платит и т.п.) у него на экране? В нашей конторе на всех 200-х операторских компах стоят VNC-расшаривалки X-десктопов с запросом паролей - и да, заходить в защищенные сессии без предварительной договоренности с оператором (его заявки о помощи и т.п.) крайне не приветствуется - а расследовать кто "пошутил" нетрудно - от фамилии того, за кого например заплатили. Но эта слабина - только против своих "хакеров" (сисадмина и т.п.), прочие (из Интернета), могущие установить свои тулзы удаленного доступа получить доступ в эту сеть не смогут (ессно если сисадмин об этом побеспокоится - а он как правило беспокоится).

[vitaly_l]

прочие (из Интернета), могущие установить свои тулзы удаленного доступа получить доступ в эту сеть не смогут (ессно если сисадмин об этом побеспокоится - а он как правило беспокоится)

Как знать, программисты - очень умный народ, и взламывают даже самые защищённые сети.

Он в базе увидит только зашифрованные данные. Пароль-то в ф-и ENCODE и DECODE подставляется при запросе, клиентским приложением.

Н-да... не читали Вы про способы перехвата данных. Ну да это не суть, т.к. пофиг.

У меня более важный вопрос назрел, по теме топика. Вот он:
SQLQuery, понятное дело самостоятельно составляет SQL запрос и отправляет его на сервер. И мне захотелось его(этот SQL запрос) видеть.
Какой командой можно посмотреть запрос к серверу, который автоматом составляет SQLQuery ?


.

[debi12345]

Как знать, программисты - очень умный народ, и взламывают даже самые защищённые сети

Как говорят в народе - на каждого умного программиста всегда найдется не менее умный сисадмин

Какой командой можно посмотреть запрос к серверу, который автоматом составляет SQLQuery ?

1) сниффером сетевого трафика, умеющим парсить пакеты (напрмер WireShark-ом )
2) системно : подправить исходники SQLDB, добавив туда коллбэк,срабатывающий перед самой отправкой SQL-запроса - который, если назначен, будет например выводить ShowMessage/WriteLn c текстом запроса
3) одноразово: поставить точку останова отладчика в SQLBD в то место, где происходит финальная сборка запроса, и глядеть в WathPoint-е

[vitaly_l]

1) сниффером сетевого трафика, умеющим парсить пакеты (напрмер WireShark-ом )
2) системно : подправить исходники SQLDB, добавив туда коллбэк,срабатывающий перед самой отправкой SQL-запроса - который, если назначен, будет например выводить ShowMessage/WriteLn c текстом запроса
3) одноразово: поставить точку останова отладчика в SQLBD в то место, где происходит финальная сборка запроса, и глядеть в WathPoint-е

WireShark? Ни фига себе. Спасибо; поищу. А что же функции str := ShowMePleaseWhatYouSendToServer; программисты Лазаруса не предусмотрели?


.

[debi12345]

А что же функции str := ShowMePleaseWhatYouSendToServer; программисты Лазаруса не предусмотрели?

Видимо посчитали что отладки с остановом в SQLDB будет достаточно - исходники-то окрытые, поэтому и не стали отклоняться от публичного интерфейса Дельфей (который данную чисто информационную) функцию не предоставляет).
Другое дело было бы если можно модифицировать-конструировать запрос на лету перед самой отправкой - как в MSEшном OnApplyRecUpdate(updateKind,..,sql)

[sign]

И никакой зависимости от языка.
Только SQL!

На уровне SQL я знаю, как общаться с базой. Меня интересует только Лазарус с его возможностью упростить мне задачу при редактировании.

Для редактирования одной записи я создаю "карточку редактирования".

Создаю "карточку редактирования" <== Это интересно это как? (остальное понятно).

Ну, вот, например, так:

1.jpg

Я никогда не редактирую ничего в гриде.

[vitaly_l]

Я никогда не редактирую ничего в гриде.

Хорошо, спасибо - я понял что такое "карточка". И кстати понял, почему все программисты против редактирования в гриде.

Видимо посчитали что отладки с остановом в SQLDB будет достаточно - исходники-то окрытые

В том то и дело. Мне очень стыдно признаться, но я не пользуюсь отладкой Лазаруса, я всегда проверяю всё ручками и даже не умею пользоваться отладкой. Я понимаю, что там всего лишь нужно поставить брекпоинт, но предпочитаю принудительный вывод информации для отладки, а не брекпоинты. Жаль что они не сделали такую возможность. Спасибо, добрый debi12345.


.

[debi12345]

в том то и дело. Мне очень стыдно признаться, но я не пользуюсь отладкой Лазаруса, я всегда проверяю всё ручками и даже не умею пользоваться отладкой

Завидую - у меня коллега такой же уникум, умеющий все удерживать и прокручивать в голове А вот лично мне приходится не вылазить из пошаговой отладки - что кстати идет во вред абстрактному мышлению.

[vitaly_l]

А вот лично мне приходится не вылазить из пошаговой отладки - что кстати идет во вред абстрактному мышлению.

Во всём есть свои плюсы и минусы. Человеческая память, самое ненадёжное хранилище информации. Равно как и просчёты/проверки в программировании лучше делать Вашим способом, т.к. человеческое внимание тоже очень ненадёжная штука. Так что для программиста, как раз таки лучше и надёжнее - Ваш способ, но я так не смогу. Так что моя "зависть" взаимна.


.

[debi12345]

Привычка полагаться на отладку приводит к весьма тяпляпному стили програмированния в духе "лишь бы хоть как-то запустилось, а выправим по ходу"

[Снег Север]

А что же функции str := ShowMePleaseWhatYouSendToServer; программисты Лазаруса не предусмотрели?

Кстати, вот еще один довод в пользу использования своих insert/update в программе.

[vitaly_l]

Привычка полагаться на отладку приводит к весьма тяпляпному стили програмированния в духе "лишь бы хоть как-то запустилось, а выправим по ходу"

Только Вы ответили, как получить данные при отправке на сервер. Так что, вуаля! <== Вот плюс, Вашего метода. И Вы знаете 100 вариантов, получения данных и можете их применять в зависимости от ситуации, а мой метод ограничен, выводом: showMessage, записью в лог или caption; А ещё иногда таймер могу подключить. Тоесть мой метод, ОЧЕНЬ поверхностный и ненадёжный, т.к. я могу пропустить/незаметить: 100/500 ошибок.

Кстати, вот еще один довод в пользу использования своих insert/update в программе.

Не... я не буду заморачиваться, на тему написания своих SQL запросов, т.к. априори понятно, что я сделаю - всё тоже самое, что уже сделано разработчиками Лазарус, т.к. всё прекрасно работает. Другой вопрос, посмотреть что, конкретно происходит при смене тех или иных параметров. Я попробую, вариант debi12345, возможно у меня получится посмотреть запросы к серверу, т.к. хочется их всё таки увидеть.


.