?

6.3.0 влили

пух

с инспектором

няш

подскажите пожалуйста, как в nodejs + mysql посмотреть запрос который отправляется в бд?

console.log ?

да не

подскажите пожалуйста, как в nodejs + mysql посмотреть запрос который отправляется в бд?

sequelize?

вот например connection.query('сам запрос с подставновкой', объект для подстановки, callback) . как мне посмотреть запрос который формируется после подстановки?

@cucumberineanin Вот тут ридми: http://npmjs.com/mysql

вот например connection.query('сам запрос с подставновкой', объект для подстановки, callback) . как мне посмотреть запрос который формируется после подстановки?

Зависит от той орм/либы которую ты используешь.

Открой его

@immuzov Он же сказал — mysql

Так вот, там в ридми написано, как показать запрос =).

:)ок и на том спасибо

Хотя вот честно — я недолюбливаю либу mysql

Вот за это, например: https://www.npmjs.com/package/mysql#escaping-query-values

@cucumberineanin А исходя из каких соорбажений была выбрана именно она?

@ChALkeR а в чем проблема?

Ну да, должно быть аля escape`SELECT * FROM ... ${userId}`

@vkurchatkin В том, что рекомендовать в документации экранирование SQL ручками и построение запоросов конкатенацией — очень не круто.

И в реальной жизни такое не защищает от SQLi.

Почему драйвер должен защищать от SQLi?

драйвер должен давать возможность слать подготовленные запросы

select * from users where id = $1 - вот такое

а экранировать ничего не надо, но все делают(

ну там поддерживаются ? в запросе

а для тех кто хочет ручками, есть утилы

не вижу проблемы

Caution This also differs from prepared statements in that all ? are replaced, even those contained in comments and strings.

там replace на стороне ноды работет, видимо

хмм, ну это фейл

ага, причем всякие knex, sequelize также не чешутся(

https://github.com/brianc/node-postgres/blob/master/test/unit/client/prepared-statement-tests.js#L49

зато pg умеет ;)

ну там поддерживаются ? в запросе

Да, но документация не должна первым ответом на вопрос «как мне не напороться на SQLi» советовать конкатенацию и ручное экранирование.

Я тут про травис вбросил: https://github.com/ChALkeR/notes/blob/master/Stealing-Travis-secure-variables.md

@ChALkeR фейл гитхаба?

@vkurchatkin Нет, это была фича.

Но, кажется, за эти несколько месяцев с тех пор как они сказали, что это была фича, они таки её выпилили.

слава богу

но вообще конечно никаких секретах в публичном CI не должно быть

Но стоит перепроверить.

@vkurchatkin Ну как сказать. Я так прикидываю, что каждый второй залил свой нпм токен на травис и публикует пакеты прямо оттуда

Но у трависа для этого есть специальная фича, которая не совсем то же самое что и секретные переменные окружения.

И не запускается для пулл-реквестов вообще, насколько я знаю.

мне даже такое с приватного CI делать не нравится

Но этим пользуются не все, некоторые кладут нпм токен в переменные окружения.

Да, я бы тоже не стал.

Вообще секреты отдавать куда бы то ни было, даже на VPC, даже по SSH

лучше делать локально по возможности, все равно тебе не нужно публиковать очень часто

Читал мою прошлую запись?

Как раз про секреты.

какую именно? скорее всего читал

Там, где пароль на выкладывание express.js лежал внутри какого-то пакета, а пароль разработчика npm от npm (на выкладывание npm в npm в том числе) лежал в публичном гисте

Вот эту: https://github.com/ChALkeR/notes/blob/master/Do-not-underestimate-credentials-leaks.md

@vkurchatkin Людям вообще надо несколько внимательнее относиться к тому, что именно они публикуют.

@vkurchatkin Вот ещё: https://github.com/npm/npm/issues/8339#issuecomment-113603911

Парни! Москва не слишком радует погодой этим летом, но нас это не остановится, разогреем её и сделаем горячо в следующую среду вечером, на восьмом Moscow Node.js Meetup в Яндексе! Успевайте зарегистрироваться: https://events.yandex.ru/events/yagosti/13-jul-2016/

Я 13 июля прилетаю в Москву только днём, и вторую половину дня буду занят, так что меня там не будет. Удачи вам там =).

?

а когда это седьмой был?

ERROR: S client not available

31 мая на конференции "Российский Интернет-Технологии"

Что вы так часто обсуждаете? о.О

Парни! Москва не слишком радует погодой этим летом, но нас это не остановится, разогреем её и сделаем горячо в следующую среду вечером, на восьмом Moscow Node.js Meetup в Яндексе! Успевайте зарегистрироваться: https://events.yandex.ru/events/yagosti/13-jul-2016/

?

Смерть ноды и переезд на го из очевидного

го не нужен

Да аргументируйте же хоть кто-то? Почему не нужен?

Потому что ничего нового не привнёс. Абсолютно. Посмотрите на rust. Вот это будущее, если не загнётся из-за китайского рандома. А го вообще не ясно зачем.

Парни! Москва не слишком радует погодой этим летом, но нас это не остановится, разогреем её и сделаем горячо в следующую среду вечером, на восьмом Moscow Node.js Meetup в Яндексе! Успевайте зарегистрироваться: https://events.yandex.ru/events/yagosti/13-jul-2016/

Самое главное забыл. Провиант будет?

Вот близзард привнес что-то новое с овервотчем?

Или старкрафтом

ни капли нового. Просто хорошо скомпонованный продукт. То же самое go, тусуется в той же нише что нода, но гораздо лучше справляется с многопоточностью и бить раков по рукам

Самое главное забыл. Провиант будет?

Не исключено, точнее - всё включено

ни капли нового. Просто хорошо скомпонованный продукт. То же самое go, тусуется в той же нише что нода, но гораздо лучше справляется с многопоточностью и бить раков по рукам

шта? Гораздо лучше справляется с многопоточностью? Где в ноде многопоточность?))

Парни! Москва не слишком радует погодой этим летом, но нас это не остановится, разогреем её и сделаем горячо в следующую среду вечером, на восьмом Moscow Node.js Meetup в Яндексе! Успевайте зарегистрироваться: https://events.yandex.ru/events/yagosti/13-jul-2016/

???

шта? Гораздо лучше справляется с многопоточностью? Где в ноде многопоточность?))

ну вообщем-то ты сам ответил. плюс провиженить его попроще бинарником. ну офк в нише тулинга для фронта вряд ли го пересилит ноду, а всякие микросервисы на го приятнее писать не думая отдельно о туле для масштабирования

ну вообщем-то ты сам ответил. плюс провиженить его попроще бинарником. ну офк в нише тулинга для фронта вряд ли го пересилит ноду, а всякие микросервисы на го приятнее писать не думая отдельно о туле для масштабирования

ничего не приятнее)) я уже скидывал код, без него в go делать нечего

Или старкрафтом

Старкрафт 1 был очень большим прорывом вообще-то.

Старкрафт 1 был очень большим прорывом вообще-то.

новые механики? нет. хорошая компиляция и проработка - да

новые механики? нет. хорошая компиляция и проработка - да

Да, новые механики. Микроконтроль юнитов. Киберспорт.

Парни! Москва не слишком радует погодой этим летом, но нас это не остановится, разогреем её и сделаем горячо в следующую среду вечером, на восьмом Moscow Node.js Meetup в Яндексе! Успевайте зарегистрироваться: https://events.yandex.ru/events/yagosti/13-jul-2016/

О, отлично, как я понял, все же расскажешь свой доклад про CoreOS

Да, новые механики. Микроконтроль юнитов. Киберспорт.

В том же age of empires можно было микроконтролить. Благодаря ужасному pathfinding в играх почти всегда требовался микроконтроль задачи иначе юниты выбирали не самые очевидные пути типа обходить пока твои юниты идут. Киберспорт ну это же не игровая механика а культура скорее.

В том же age of empires можно было микроконтролить. Благодаря ужасному pathfinding в играх почти всегда требовался микроконтроль задачи иначе юниты выбирали не самые очевидные пути типа обходить пока твои юниты идут. Киберспорт ну это же не игровая механика а культура скорее.

Можно было, но такой принципиальной разницы в результате это не давало.

В том же age of empires можно было микроконтролить. Благодаря ужасному pathfinding в играх почти всегда требовался микроконтроль задачи иначе юниты выбирали не самые очевидные пути типа обходить пока твои юниты идут. Киберспорт ну это же не игровая механика а культура скорее.

А культура не могла сложиться без игры.

да можно было от выстрелво уворачиваться в age of empires

тоже дропами

Мне кажется в Age Of Empires микро где-то на уровне 2го Варкрафта.

тем более я слабо уверен что оно так задумано было :о

Но у трависа для этого есть специальная фича, которая не совсем то же самое что и секретные переменные окружения.

какая фича?

какая фича?

няшил

А культура не могла сложиться без игры.

+

В том же age of empires можно было микроконтролить. Благодаря ужасному pathfinding в играх почти всегда требовался микроконтроль задачи иначе юниты выбирали не самые очевидные пути типа обходить пока твои юниты идут. Киберспорт ну это же не игровая механика а культура скорее.

причем тут pathfinding, в старкрафте микрят в сражениях