[python] Vkladani listu do SQL prikazu
Jan Janech
devel na atlas.sk
Pátek Srpen 15 12:23:41 CEST 2008
Osobne tam nevidim nic zle. Nie je to "pitome" riesenie, nakolko sa o
vyplnenie a formatovanie stara DB-API a nie ja. Poprosim o ukazku toho,
ako to dokaze nejaky cracker naburat.
superman wrote:
> Já se moc omlouvám, ale proti podobně pitomým řešením se musím ozvat.
> Tedy pokud toužíte po tom dát případnému crackerovi do ruky naprosto
> ideální nástroj k průniku do vašeho systému tak je toto řešení skvělé. A
> pokud takto řešíte listy, tak není pro mě problém vám zvenčí třeba
> zrušit celou databázi a vyčistit vám jí dočista do čista pouhým vstupem
> zvenku jakožto uživatel.
>
> Nehledě na tom, že na některých vstupech v listech to musí selhat tak
> jako tak.
>
> Takhle se to nedá dělat!
>
> Miloslav Ponkrác
>
>
>> Ahoj,
>>
>> ako najjednoduchsie (a zaroven este ako tak rozumne) riesenie vidim:
>>
>> tmp = ",".join(["%s"]*len(nejakylist))
>> cursor.execute("SELECT ....WHERE t.tagname IN ("+tmp+")", nejakylist).
>>
>> Popripade, ak sa niekomu nepaci, ze sa tam robi zbytocny zoznam (napr.
>> mne ;) ), tak to iste cez iteratory:
>>
>> tmp = ",".join("%s" for polozka in nejakylist)
>> cursor.execute("SELECT ....WHERE t.tagname IN ("+tmp+")", nejakylist).
>>
>
> _______________________________________________
> Python mailing list
> Python na py.cz
> http://www.py.cz/mailman/listinfo/python
>
>
>
--
____________________________
Ing. Jan Janech
Katedra softverovych technologii
Fakulta riadenia a informatiky
Zilinska Univerzita
Další informace o konferenci Python