[python] Vkladani listu do SQL prikazu

[superman]

Já se moc omlouvám, ale proti podobně pitomým řešením se musím ozvat. 
Tedy pokud toužíte po tom dát případnému crackerovi do ruky naprosto 
ideální nástroj k průniku do vašeho systému tak je toto řešení skvělé. A 
pokud takto řešíte listy, tak není pro mě problém vám zvenčí třeba 
zrušit celou databázi a vyčistit vám jí dočista do čista pouhým vstupem 
zvenku jakožto uživatel.

Nehledě na tom, že na některých vstupech v listech to musí selhat tak 
jako tak.

Takhle se to nedá dělat!

Miloslav Ponkrác


> Ahoj,
>
> ako najjednoduchsie (a zaroven este ako tak rozumne) riesenie vidim:
>
> tmp = ",".join(["%s"]*len(nejakylist))
> cursor.execute("SELECT ....WHERE t.tagname IN ("+tmp+")", nejakylist).
>
> Popripade, ak sa niekomu nepaci, ze sa tam robi zbytocny zoznam (napr. 
> mne ;) ), tak to iste cez iteratory:
>
> tmp = ",".join("%s" for polozka in nejakylist)
> cursor.execute("SELECT ....WHERE t.tagname IN ("+tmp+")", nejakylist).
>