Tady vidim vzajemne nepochopeni. Jak je videt, bezpecnostni diry v aplikacich casto zavisi i na jedinem znaku :-). Porovnejte nasledujici:<br><br>"SELECT * FROM blabla WHERE promenna='%s'" % promenna<br>"SELECT * FROM blabla WHERE promenna=%s", promenna<br>
<br>Uz je videt ten rozdil? Prvni radek je klasicke python prirazeni - zadne pridavani uvozovek, zadna ochrana proti SQL injection apod. Druhy priklad, jako jednotlive parametry predavane do funkce knihovny MySQLdb, jiz toto vse resi. Jediny rozdil je v carce versus procentu.<br>
<br>Marek<br><br><div class="gmail_quote">2009/3/20 Dan Pressl <span dir="ltr"><<a href="mailto:nu.frix@gmail.com">nu.frix@gmail.com</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Prekvapuje me to, ze %s v kombinaci s % provadi, pokud dobre vim,<br>
jenom nahrazeni %s nejakym retezcem. Z sqlite3 sem zvykly pouzivat ?<br>
misto %s prave kvuli odstraneni moznosti SQL Injection, aby prave<br>
nedoslo k nahrazeni retezcem, ktery by nemusel byt zrovna koser:)<br>
<br>
</blockquote></div><br>