[python] zope a dynamické třídění výběru z sql
Martin Brachtl
brachtl na redgrep.cz
Pátek Srpen 22 11:05:39 CEST 2003
ViNiL wrote:
> Dne st 12. března 2003 17:00 Jiri Lisicky napsal(a):
>
>>Měl bych tento dotaz k tématu:
>>Mám ZSQL metodu s tímto obsahem a parametrem order_by
>>SELECT sloupec1, sloupec2
>> FROM tabulka
>> ORDER BY <dtml-var order_by>
>>
>>Aby mi nějaký "nehodný chlapec" neudělal něco ošklivého v datech, měla by
>>být proměnná order_by nějak "oeskejpovaná". Pokud ale použiju sqlvar, bude
>>výsledná proměnná uzavřena v uvozovkách a to nechce postgresql sežrat. Do
>>té proměnné sqlvar chci dávat název_sloupce - nechci to dělat číslem - to
>>by fungovalo, ale to se mi nelíbí.
>>
>>Jak to děláte vy?
>
>
> No, ZSQL metodu nevolam nikdy primo, takze ten vstup osetrim v miste volani te
> ZSQL metody, tedy v te "strance". Pokud by to nebylo dostatecne, coz tedy
> neni :-), tak dtml-var ma spousty parametru, viz manual (napr. html_quote,
> fmt, sql_quote, size a tak dale).
>
>
v ZSQL metode zasadne nepouzivam dtml-var ale dtml-sqlvar a
dtml-sqltest, coz vas od problemu syntaxe toho ktereho SQL odstini a
vyresi nehodne chlapce.
M. Brachtl
Další informace o konferenci Python