Vladimir писал(а):
В данный момент, в качестве обходного пути это можно реализовать - в отчёте вместо запроса передавать какой-либо уникальный идентификатор запроса, а на сервере его заменить на реальный запрос (файл handler.php, команды RetrieveColumns и LoadData).
Здравствуйте,
если отчет использует вот такого плана запрос:
select *
from table
where field_date between '{dStart.ToString("yyyy-MM-dd")}' and '{dEnd.ToString("yyyy-MM-dd")}'
dStart, dEnd - переменные в отчете ( которые, как я понял, меняются на значения на клиентской стороне )
речь об изменении переменных на панели самого вьювера...
( без передачи их в query_string-е )
т.е. если прописать ИД запроса в дизайнере, то значения переменных не будут заменены и на сервер придет запрос без изменений.
А после отработки sti_parse_query_parameters запрос превратится в :
select *
from table
where field_date between '' and ''
Собственно вопрос: так ли это ? и можно это как-нибудь победить ?
(чтобы работать через запросы, которые лежат в своей БД,
чтобы вьювер передавал только уникальный ИД запроса и чтобы при этом функционал с переменными работал по-прежнему )
Vladimir писал(а):
Доработку запланировано реализовать к официальной версии 2012.1, которая будет доступна в марте.
Еще не готова ?
А в том, что злоумышленник может послать на сервер произвольный запрос, который серверная часть послушно выполнит. А там может быть все что угодно, начиная от получения данных, заканчивая банальным их уничтожением.
