[python] zope a dynamické třídění výběru z sql

ViNiL vinil na zagamma.cz
Středa Březen 12 17:34:56 CET 2003


Dne st 12. března 2003 17:00 Jiri Lisicky napsal(a):
> Měl bych tento dotaz k tématu:
> Mám ZSQL metodu s tímto obsahem a parametrem order_by
> SELECT sloupec1, sloupec2
>   FROM tabulka
>   ORDER BY <dtml-var order_by>
>
> Aby mi nějaký "nehodný chlapec" neudělal něco ošklivého v datech, měla by
> být proměnná order_by nějak "oeskejpovaná". Pokud ale použiju sqlvar, bude
> výsledná proměnná uzavřena v uvozovkách a to nechce postgresql sežrat. Do
> té proměnné sqlvar chci dávat název_sloupce - nechci to dělat číslem - to
> by fungovalo, ale to se mi nelíbí.
>
> Jak to děláte vy?

No, ZSQL metodu nevolam nikdy primo, takze ten vstup osetrim v miste volani te 
ZSQL metody, tedy v te "strance". Pokud by to nebylo dostatecne, coz tedy 
neni :-), tak dtml-var ma spousty parametru, viz manual (napr. html_quote, 
fmt, sql_quote, size a tak dale). 


-- 

ViNiL, the GNU Hippie

"bring them to me -- alive and unspoiled"



Další informace o konferenci Python