GreenSQL: proxy que protege MySQL de SQL injections

ByLuis

GreenSQL es un reverse proxy que se sitúa entre tu aplicación web y la BD de MySQL y evita que se realicen ataques de SQL injection en nuestra BD.
greensql.png
La lógica está basada en la evaluación de los comandos SQL usando una matriz de puntuación de riesgo, a parte de bloquear comandos de administración (DROP, CREATE, …).
Tiene muy buena pinta, claro que habría que hacer unas pruebas de rendimiento para ver si es más eficiente evitar los ataques mediante código o mediante GreenSQL.
GreenSQL

Similar Posts

MySQL Migration Toolkit

ByLuis

mysql.pngEl otro día nos preguntaban una forma de migrar una base de datos Access a otra MySQL. En ese momento no conocía ninguna aplicación que pudiera hacerlo, pero hoy me he enterado que los propios de MySQL tienen MySQL Migration Toolkit, que permite mediante una serie de pasos realizar una migración de forma correcta.
mysql_migration.png
Entre las base de datos que podemos migrar nos encontramos: Oracle, Microsoft SQL Server, Microsoft Access y otras. A parte reduce riesgos usando una metodología, ahorra costes incrementando la productividad, elimina días de trabajo de querys manuales, test y debug.
He visto también en en artículo desde el que hacemos referencia, que MySQL Workbench, del que hicimos referencia en su día, no está disponible para su descarga como lo estaba anteriormente, esperemos que sea porque anden mejorando este producto.
MySQL Migration Toolkit
Vía / Conexiones Razonables

OQGraph: motor MySQL que permite jerarquías

ByLuis

Open Query Graph (OQGraph) es un plugin para MySQL, MariaDB y Drizzle que permite trabajar con jerarquías o grafos en nuestra BD.

Acaba de ser sacada a la luz, pero puede sernos muy útil para desarrollos de redes sociales: cada nodo del grafo es un usuario. También podríamos utilizarlo para estructuras jerarquizadas: padre, hijos, nietos, …

OQGraph

Vía / PHP Freaks

10 cosas que hacer antes de instalar MySQL

ByLuis

Buen artículo en el que se nos ofrecen 10 cosas que hay que tener en cuenta cuando vamos a instalar MySQL. En muchas ocasiones la gente se conforma con instalar la base de datos, meter los datos y ya está, cuando realmente hay cosas muy importantes en las que fijarse:

  • Comprender el propósito y el crecimiento potencial de la base de datos.
  • Determinar una capa física adecuada, los parámetros por defecto no son siempre los mejores.
  • Seleccionar un motor de almacenamiento adecuado y pensar que impacto puede tener en el rendimiento y las estrategias de backup y recuperación.
  • Planifica tu estrategia de copias de seguridad y recuperación. Elige las herramientas adecuadas para tu entorno.
  • Comprende el número de bases de datos que serán creadas y el mantenimiento.
  • ¿Cual es el coste y las ramificaciones del entorno?, realiza un análisis adecuado.
  • Piensa en la seguridad con la que serán tratados los usuarios y las bases de datos.
  • Elige un SQL_MODE adecuado, con la seguridad de que comprendes las consecuencias de esa elección.
  • Ten en cuenta la capa física de almacenamiento: limitaciones, escalabilidad y rendimiento de usar discos separados, arrays de discos, …
  • Define prácticas correctas para determinar nomenclaturas, herramientas de administración, administración de infraestructuras y documéntalo todo.

Top Ten Things to do before installing MySQL

|

Recursos para crear paginación

ByLuis

A la hora de crear paginación en los resultados que devuelve una búsqueda en nuestra aplicación hay que tener varias cosas en cuenta. Sobre todo cuando queremos mostrar los resultados totales. Para saber cuántos resultados se han obtenido, debemos hacer una consulta del tipo:

select count(1) from tabla

Esto suele ser lo más eficiente, ya que la otra opción es hacer la consulta sin más y luego contar el número de registros (a mí me parece una locura, pero lo he visto en varios sitios).

Si ya hemos calculado el número de registros, ahora podemos obtener únicamente un rango de registros ya sea con LIMIT en MySQL o haciendo uso del ROWNUM en Oracle.

¿Presenta algún problema calcular inicialmente el número de registros?, pues sí, si la consulta es pesada, por ejemplo por su complejidad, se deberá realizar dos veces, la primera para calcular el número de registros y la segunda para obtener los datos, por lo que perdemos un tiempo precioso.

Lo lógico sería hacer un estudio de cuántos registros se pueden obtener de la consulta, si son relativamente pocos, quizás compense obtener todos y no tener que hacer dos consultas. También puede ser interesante conocer hasta que página suele acceder el usuario, no creo que más de 5 a 10 páginas, si el usuario llega a ese número de páginas consultadas y no encuentra nada, o lo da por imposible o refina la búsqueda.

Lo mejor sería que no aparecieran el número de registros totales encontrados, aunque esto a veces no es posible ya que las especificaciones del cliente lo obligan, entre otras cosas porque ese dato puede llegar a dar cierto prestigio sobre la calidad del buscador.

Tampoco olvidar que las bases de datos no recuperan todos los registros de una sola vez, sino que los va recuperando según se van solicitando, al menos así lo hacen bases de datos como Oracle.

De todas formas, para aquellos que necesiten realizar paginación en sus aplicaciones web, os pasamos una serie de tutoriales que esperamos sean de utilidad:

MemProxy: proxy con PHP y memcached

ByLuis

MemProxy es un script PHP sencillo pero potente, que nos permite tener un servidor proxy de peticiones web y cachea los contenidos en memcached. Tan solo es necesario PHP5.2, la extensión PECL para memcache, servidor web con capacidad de re-escritura y memcached.

En el siguiente ejemplo:

$backend_array = array(
"www.example.com" =>
array(
array("app1.example.com", 80),
array("app2.example.com", 80),
array("app3.example.com", 80),
),
"another.example.com" =>
array(
array("app1.example.com", 8080),
array("app2.example.com", 8080),
array("app3.example.com", 8080),
),
);

las claves de los arrays (www.example.com y another.example.com) son los host names de los sitios en los que se quiere hacer proxy. MemProxy usará el valor de HTTP_HOST para determinar la clave. Esto sería como un hosting virtual basado en nombres.

MemProxy

Intercambiando el valor de columnas en MYSQL

ByLuis

Interesantes métodos para intercambiar el valor de dos columnas en MySQL.

UPDATE swap_test SET x=y, y=@temp WHERE (@temp:=x) IS NOT NULL;

Este método no funciona cuando alguna de las columnas tiene valor NULL, y los paréntesis son obligatorios.

Otro método, que no tendría problemas con los NULL, sería:

UPDATE swaptest s1, swaptest s2 SET s1.x=s1.y, s1.y=s2.x WHERE s1.id=s2.id;

Swapping Column Values in MySQL