<?php // Полная загрузка сервисных книжек, создан 2024-01-05 12:44:55
global $wpdb2;
global $failure;
global $file_hist;
///// echo '<H2><b>Старт загрузки</b></H2><br>';
$failure=FALSE;
//подключаемся к базе
$wpdb2 = include_once 'connection.php'; ; // подключаемся к MySQL
// если не удалось подключиться, и нужно оборвать PHP с сообщением об этой ошибке
if (!empty($wpdb2->error))
{
///// echo '<H2><b>Ошибка подключения к БД, завершение.</b></H2><br>';
$failure=TRUE;
wp_die( $wpdb2->error );
}
$m_size_file=0;
$m_mtime_file=0;
$m_comment='';
/////проверка существования файлов выгрузки из 1С
////файл выгрузки сервисных книжек
$file_hist = ABSPATH.'/_1c_alfa_exchange/AA_hist.csv';
if (!file_exists($file_hist))
{
///// echo '<H2><b>Файл обмена с сервисными книжками не существует.</b></H2><br>';
$m_comment='Файл обмена с сервисными книжками не существует';
$failure=TRUE;
}
/////инициируем таблицу лога
/////если не существует файла то возврат и ничего не делаем
if ($failure){
///включает защиту от SQL инъекций и данные можно передавать как есть, например: $_GET['foo']
///// echo '<H2><b>Попытка вставить запись в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>$m_comment));
wp_die();
///// echo '<H2><b>Возврат в начало.</b></H2><br>';
return $failure;
}
/////проверка лога загрузки, что бы не загружать тоже самое
$masiv_data_file=stat($file_hist); ////передаем в массив свойство файла
$m_size_file=$masiv_data_file[7]; ////получаем размер файла
$m_mtime_file=$masiv_data_file[9]; ////получаем дату модификации файла
////создаем запрос на получение последней удачной загрузки
////выбираем по штампу времени создания (редактирования) файла загрузки AA_hist.csv, $m_mtime_file
///// echo '<H2><b>Размер файла: '.$m_size_file.'</b></H2><br>';
///// echo '<H2><b>Штамп времени файла: '.$m_mtime_file.'</b></H2><br>';
///// echo '<H2><b>Формирование запроса на выборку из лога</b></H2><br>';
////препарируем запрос
$text_zaprosa=$wpdb2->prepare("SELECT * FROM `vin_logs` WHERE `last_mtime_upload` = %s", $m_mtime_file);
$results=$wpdb2->get_results($text_zaprosa);
if ($results)
{ foreach ( $results as $r)
{
////если штамп времени и размер файла совпадают, возврат
if (($r->last_mtime_upload==$m_mtime_file) && ($r->last_size_upload==$m_size_file))
{////echo '<H2><b>Возврат в начало, т.к. найдена запись в логе.</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>'Загрузка отменена, новых данных нет, т.к. найдена запись в логе.'));
wp_die();
return $failure;
}
}
}
////если данные новые, пишем в лог запись о начале загрузки
/////echo '<H2><b>Попытка вставить запись о начале загрузки в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>0, 'last_size_upload'=>$m_size_file, 'comment'=>'Начало загрузки'));
////очищаем таблицу
$clear_tbl_zap=$wpdb2->prepare("TRUNCATE TABLE %s", 'vin_history');
$clear_tbl_zap_repl=str_replace("'","`",$clear_tbl_zap);
$results=$wpdb2->query($clear_tbl_zap_repl);
///// echo '<H2><b>Очистка таблицы сервисных книжек</b></H2><br>';
if (empty($results))
{
///// echo '<H2><b>Ошибка очистки таблицы книжек, завершение.</b></H2><br>';
//// если очистка не удалась, возврат
$failure=TRUE;
wp_die();
return $failure;
}
////загружаем данные
$table='vin_history'; // Имя таблицы для импорта
//$file_hist Имя CSV файла, откуда берется информация // (путь от корня web-сервера)
$delim=';'; // Разделитель полей в CSV файле
$enclosed='"'; // Кавычки для содержимого полей
$escaped='\
Класс!
Работает даже без «модуля внешнего соединения».
Показать
Я ничего не путаю, в первой функции ошибок нет? Сдается мне она ВСЕГДА должна ответ «ОК» присылать. Может все же должно быть Ответ = Выполнить(КодВыполнить); ?
И почему проверка на Строку? А если я в ответ именно строковое значение хочу получить?
Сорри конечно, если я туплю…
(2) V_V_V, У меня «ошибается» только с пустыми параметрами
Пример с «номенклатурой» работает.
Да, все долго мучились с COM-соединением. Интересная методика 🙂 Попробую взять на вооружение.
Спасибо. Я месяца 2 назад потратил 2 два дня только на разработку инфраструктуры для обмена через Com. Где же вы были раньше.
Мдя, скоро и правда даже «Сообщить(«Привет») станет на ИС откровением и сакральным знанием… Если уж на столь очевидные вещи находятся восторгающиеся…
Матчасть учите и ИТС читайте, будет вам щастье.
p.s. за советы «чуть-чуть изменить конфу» хочется минусовать, не глядя. Есть несколько способов добиться того же, что описано в статье, не меняя конфу никак (вот, хотя бы, в (1) приведено, но там нужны права на запуск внешних обработок). Но топорные решения — они да, самые простые…
Методика, конечно, интересная.
Но увеличивает уязвимость базы.
Можно написать на VBScript программку, которая подключится к базе и вызовет такую функцию.
А в параметре КодВыполнить можно написать все что угодно. Например удалить все документы, или переименовать все записи какго-нибудь справочника рендомными значениями.
Вот же вирусяка то получится 🙂
(7) Danila-Master, то же самое можно сделать и без такой функции.
«С тех пор я обязательно вставляю эту функцию во все конфигурации, с которыми предстоит долгое общение или сопровождение. Очень облегчает жизнь впоследствии.»
это очень облегчает жизнь тем, кто хочет произвести неправомерные действия с базой. Если я увижу такую ДЫРУ в какой-либо из сопровождаемых базах, я немедленно её закрою, а на того, кто её сделал поставлю вопрос о проф пригодности.
Автор никогда не задумывался, почему такую супермегаполезную функцию разработчики за десяток лет не запилили ни в одной типовой конфигурации?
(9) Stim213, Тогда надо всю жизнь сидеть дома и не выходить на улицу. Вдруг машина собъет или кирпич на голову упадет?
Хотя и на квартиру может упасть самолет:-)
Чтобы знать что такая функция есть надо зайти в конфигуратор и посмотреть в модуль внешнего соединения. А уж нахождение в конфигураторе — вот это уязвимость так уязвимость!:-)
(6) Yashazz, не все подписаны на ИТС. И не для каждого это элементарные вещи. Хотя для более менее опытного спеца- конечно ерунда. Но ведь не все супер спецы, не так ли?
+(6)>>p.s. за советы «чуть-чуть изменить конфу» хочется минусовать, не глядя
🙂 Сразу видно ярого апологета, молящегося на стандартные конфы. Это, сударь, скорее ваш недостаток, чем достоинство. Я всю карьеру работаю либо с силь
(9)
Главная защита неуловимого Джо в том, что он на фиг никому не нужен. Помни об этом 🙂
(13) да без разницы. правила информационной безопасности едины для всех. Плох тот программист, который не соблюдает эти правила в своих разработках, независимо от степени важности информационной базы.
Эти базы в дальнейшем могут быть опубликованы на веб, на их основе могут быть построены какие-то другие решения, это все требует должного уровня защищенности
(10) «Чтобы знать что такая функция есть надо зайти в конфигуратор и посмотреть в модуль внешнего соединения. А уж нахождение в конфигураторе — вот это уязвимость так уязвимость»
Отвечаю: чтобы узнать про эту дыру не нужен доступ в конфигуратор. Достаточно доступа к бекапу, cf или просто болтливый программист.
В базе может быть внешний пользователь, например, для обмена. Его имя и пароль используются в скриптах обмена/обновлений. Доступ к скриптам имеют админы, менеджеры и все те, кто этим занимается.
В нормальных организациях у такого внешнего пользователя минимум набор прав, только для того, чтобы осуществлять свои функции. Через такого пользователя нельзя ни запустить базу, ни выполнить какой-то код.
В незащищенных базах, как у автора — через дыру в модуле внешнего соединения можно выполнять любой код, предварительно установив привилегированный режим работы.
И не стоит полагаться на интуицию или авось — будут ломать или нет. Лучше сразу делать так, чтобы не было никаких дыр, как бы удобно с ними ни было. Старайтесь как можно ответственнее относиться к своей работе, это признак высокого профессионализма.
+ в типовых и так полно дыр, не стоит их плодить еще больше
Интересная идея. Спасибо, возьму на вооружение, у меня куча отчетов по COM тянет данные из примерно 30 различных баз.
жесть… вот вам доступно и всерьез
(14) Stim213, не устраивайте цирк, если у пользователя есть права доступа к данным, он сможет стянуть их и без этой чудной функции. У автора нормальное решение, правила ИБ каждая
кормушкакорпорация устанавливает свои, очень сомневаюсь, что даже в ваших есть что-то про использование «выполнить» на стороне базы.(19) PiccaHut001, это не цирк, а элементарное соблюдение прав доступа и безопасности информационной базы.
Пользователю не нужно права доступа, ему достаточно знать учетку внешнего пользователя( у которой права доступа только на обработку обмена) и иметь такую дыру, которая позволит ему получить любые данные с базы.
К чему все настройки уровня доступа, рлс, механизмы разделения данных и пр. , когда любой админ, не имеющюй доступа к данным, через такую дыру утащит все данные.
Вообще то это ошибка
CWE-676 по классификации «2011 CWE/SANS Top 25 Most Dangerous Software Errors»
Передай туда такой код:
или
(20) Stim213, чтобы стащить справочник контрагентов,
у учётки внешнего пользователя должны быть права на этот справочник. Запускаете обмены под полными правами, а потом думаете об информационной безопасности. не смешно.
(23) PiccaHut001, не говорите ерунды. У внешнего пользователя может не быть вообще никаких прав, кроме права обновлять конфу. Этакий служебный пользователь для обновления скриптами.
да и вообще не важно, какие права у внешнего пользователя. Будь это хоть самый распоследний менеджер с самым минимальным набором прав — через эту дыру он получит доступ к любым данным
(24) Stim213,
не совсем Вас понял. Есть пользователь, под которым запускается код в выполнить. Если выполнить запускается НЕ в привилегированном режиме и у пользователя нет прав на справочник, как он его может прочитать? Тем-более кудо слить? Может действительно я отстал от жизни
(25) PiccaHut001,
«Если выполнить запускается НЕ в привилегированном режиме и у пользователя нет прав на справочник, как он его может прочитать? »
Привилигированный режим устанавливается программно, доступен при внешнем соединении.
(9) Stim213, в чем дыра?
подключения производятся под пользователем 1С
если у него есть права стирать документы, то тут и без дыры их можно постирать, если нет, то выполняй любой кусок кода, не выполняй — ничего не получится
Единственно, что сейчас появился привилегированный режим, который чихать на права хотел, и которой включается кодом, вот про него во внешнем соединении не знаю ничего
(27) monkbest, «вот про него во внешнем соединении не знаю ничего»
ну раз не знаете, зачем писать?
(28) Stim213, вообще зря они этот режим ввели. Это для тех, кому права правильно настраивать лень. В 7.7 была такая дыра, если нет прав, но можно запустить внешнюю обработку, ты царь и бог в базе:)
а разве нельзя написать:
Соединение.УстановитьПривилегированныйРежим(ИСТИНА)
кажись можно, а значит «выполнить» и не дыра вовсе, дыра — возможность соединения
Спор про безопасность считаю закрытым. т.к. без всяких «Выполнить», можно написать код:
код отработал на ура, печалька
(30) monkbest, вы дурачитесь или серьезно?
ваш код ошибки не не выдаст, но и привилегированного режима для соединения не создаст.
учите матчасть.
(31) Stim213,
так и скажите, что для включения привилегированного режима нужно выполнять команду на сервере. Возвращаясь к нашим баранам, если модуль с нашим «выполнить» галочками отметить как клиент/внешнее соединение, то никакой «дыры» в безопасности не появлятся.
(31) Stim213, я серьезно
ошибки он уже не выдал, я это проверил
реальный доступ к запретным данным получить еще не пробовал, этот эксперимент — сложнее, на него нужно время.
как человек сильный в мат.часте подскажите, где её взять, в синтаксис помощнике этого не написано, там просто написано, что метод доступен во внешнем соединении. Из хелпа не понятно, где границы работы привилегированного режима при вызове его у ком объекта, т.к. как таковой процедуры тут нет, по выходу из которой он автоматом выключится.
Если, как Вы утверждаете метод УстановитьПривилегированныйРежим ничего не включает, то нафига его сделали доступным у ком объекта?
(31) Stim213, эксперимент закончен
кусок кода упал с ошибко на отсутствие прав
у пользователя справочник сотрудники был доступен только на чтение
Показать
(32)
«так и скажите, что для включения привилегированного режима нужно выполнять команду на сервере. Возвращаясь к нашим баранам, если модуль с нашим «выполнить» галочками отметить как клиент/внешнее соединение, то никакой «дыры» в безопасности не появлятся.»
я так не говорил и не говорю.
Установка привилегированного режима вполне себе выполнится как на сервере, так и при внешнем соединении.
Оставляйте только галочку «внешнее соединение» — и установка привилегированного режима будет возможна.
Режим не установится только в том случае, если база клиент-серверная, а установка выполняется на клиенте.
(33) monkbest, этот метод доступен, когда вызывается как бы «внутри» базы, встроенным языком 1С.
Когда вы пишите Соединение.МойОбщийМодульВнешнегоСоединения.ВыполнитьУстановкуПривилегированногоРежима() — режим для подключения установится. Выполнения кода в данном случае выполняется в 1С.
Когда вы пишите Соединение.УстановитьПривилегированныйРежим(Истина) — привилег режим не установится, потому установка режима выполняется не в 1С, а той программой, которая установила соединение — vb скрипт, к примеру, и код выполняется dll’кой в процессе, вызвавшем COMConneсtor.
Такое ограничение разработчиками сделано специально, чтобы защитить информационную базу от неправомерных действий сторонних приложений.
(36) Stim213, понятно, спасибо.
Хотя я бы на месте платформы выдал ошибку в моем коде, а то метод отработал, но ничего не сделал, в плане безопасности правильно, но некрасиво.
я так и не понял зачем такой бред:
ИсполнитьКод= «Ответ=Перечисления.КакоетоИмя.КакоетоЗначение»;//код на исполнение
ОтветОттуда=Соединение.ИсполнитьВн(ИсполнитьКод);
🙁
когда можно сразу написать:
ОтветОттуда= Соединение.Перечисления.КакоетоИмя.КакоетоЗначение;
и остальное всё тоже бред 🙁
(38)
А ты попробуй получить значение перечисления скажем в реквизите и сопоставить его со значением в вызывающей базе. Сразу станет интереснее.
Мое скромное имхо, господа, — ваш заруб за безопасность вечен и принципиально не разрешаем:-)
(40)stim123, сказал все правильно, что там неразрешаемого?
(41)Просто кто-то не очень подвержен паранои и готов немного поступиться безопасностью ради удобства, а кто-то нет:-)
По безопасности, зря накинулись на автора статьи.
Почему решили, что команда «Выполнить» работает под полными правами?
Если у пользователя, под которым подключаются по COM есть доступ к данным, то не важно — есть функция в Модуле Внешнего Подключения, нет такой функции — удалить или прочитать данные можно. Например ,никто не запрещает через Соединение очистить регистры.
По безопасности — выстраивайте ПРАВИЛЬНЫЕ права у пользователя который к COM подключается и спите спокойно.
такое встетил впервые. поразбираюсь автору +
(43) uri1978,
«Если у пользователя, под которым подключаются по COM есть доступ к данным»
еще раз, для тех, кто в танке — у пользователя может не быть доступ к данным. С такой дырой любой менеджер, даже с самыми минимальными правами — обладает неограниченным доступом к данным.
Любой админ, любой пользователь — кто угодно!
(39) Рэйв,
«А ты попробуй получить значение перечисления скажем в реквизите и сопоставить его со значением в вызывающей базе. Сразу станет интереснее.»
Это не повод делать дыру в базе.
Используйте строковое представление перечисления XMLСтрока(), или системный реквизит Порядок перечисления.
Поверьте, лучше подучить матчасть и писать хоть и больше кода, но безопаснее и правильнее.
(45) Stim213,
В МодулеВнешнегоПриложения не происходит контроль прав?
(47) uri1978, происходит, разумеется. Но его прекрасно можно отключить установкой привилегированного режима.
(48) Stim213,
Т.е. в команде Выполнить — можно «УстановитьПривилегированныйРежим(Истина)» и всё прокатит? Тогда это дыра, согласен.
(49) uri1978, конешн прокатит. Это прокатывает с обработкой универсального обмена XML, я об этом уже писал
(50) Stim213,
Век — живи век — учись. Пошел почитаю вашу статью про обмен.
(29) monkbest, «вообще зря они этот режим ввели. Это для тех, кому права правильно настраивать лень.» — Тут дело не в лени а в новых возможностях. Например для пользователя нет прав на чтение регистра сведений, но при выполнении алгоритма данные оттуда нужно тянуть
(46) Stim213, Я уже выше говорил про параною и разное отношение к ней.
Я наверное програмер уже старой закваски.Слегка разпиз@яйской-)) Так что как я выше и говорил — понять друг друга можем, но убедить нет:-)
Описанная здесь идея лежит в основе нашего тиражного продукта 2iS:Интеграция . Это конфигурация на 1С, в которой ты регистрируешь нужные базы 1С. Далее, используя виды автозаданий (предопределенные внешние обработки или добавленные свои внешние обработки или даже просто алгоритмы), выполняешь автозадания по расписанию или вручную или через шлюз веб-сервисов. Предопределенных видов автозаданий уже довольно много (мониторинг, обмен, управление пользователями, загрузка и обновление конфигурации, выгрузка базы и т.д.). Также реализована подсистема портал отчетности, которая позволяет разрабатывать и формировать отчеты в Интеграции для подключенных к ней баз. Все это без изменения конфигурации подключаемых к Интеграции баз.
(54) tormozit, И не стыдно тебе? 🙂 Вроде уважаемый инфостартер…
А рекламу тут у меня постишь не спросясь.
Не хорошо.
(54)Оставлю, пуст будет тебе укором.
Кому то реклама, а кому то ссылка на много готового кода…
(57)А ты не оправдывайся, чувачок. Иди на своей странице код свой нужный и готовый приводи коли такой умный…..
не очень понятно как запрос передать в ИсполнитьКод…..
(60) Chloe,
Можно разными способами.
Самый простой и удобный передать текст запроса через вспом. параметр и там его использовать:
//———-
ТекстЗапрос=»Выбрать * Из Справочник.Номенклатура»;
КодТам=»Запрос=Новый Запрос; Запрос.Текст=ВспомПараметр;Ответ=Запрос.Выполнить().Выгрузить()»;
Результат=Соединение.ИсполнитьВн(КодТам,ТекстЗапрос);