[python] zope a dynamické třídění výběru z sql
ViNiL
vinil na zagamma.cz
Středa Březen 12 17:34:56 CET 2003
Dne st 12. března 2003 17:00 Jiri Lisicky napsal(a):
> Měl bych tento dotaz k tématu:
> Mám ZSQL metodu s tímto obsahem a parametrem order_by
> SELECT sloupec1, sloupec2
> FROM tabulka
> ORDER BY <dtml-var order_by>
>
> Aby mi nějaký "nehodný chlapec" neudělal něco ošklivého v datech, měla by
> být proměnná order_by nějak "oeskejpovaná". Pokud ale použiju sqlvar, bude
> výsledná proměnná uzavřena v uvozovkách a to nechce postgresql sežrat. Do
> té proměnné sqlvar chci dávat název_sloupce - nechci to dělat číslem - to
> by fungovalo, ale to se mi nelíbí.
>
> Jak to děláte vy?
No, ZSQL metodu nevolam nikdy primo, takze ten vstup osetrim v miste volani te
ZSQL metody, tedy v te "strance". Pokud by to nebylo dostatecne, coz tedy
neni :-), tak dtml-var ma spousty parametru, viz manual (napr. html_quote,
fmt, sql_quote, size a tak dale).
--
ViNiL, the GNU Hippie
"bring them to me -- alive and unspoiled"
Další informace o konferenci Python