Форум сайта python.su
нам не надо тема тутнам надо проблема покань
Офлайн
От скуки займусь некропостингом…
Вся проблема TC в том, что он не понимает, что Prepare оно и в переводе “подготовка”, и нифига конкретного не делает. После Prepare “exec” нужен, чтоб чтото получить. (а вы развели дисскуссию на три страницы)
py.user.next
ZerG
с чего ето нельзя?
Там вопросики как раз для этого сделаны. Попробуй сделать инъекцию с вопросиком и инъекцию с форматом.
Отредактировано Iskatel (Окт. 25, 2016 22:42:54)
Офлайн
IskatelТо, что он защищает от инъекций написано и в питонячьей документации, и в документации к mysql (ты не прочитал ссылку, которую сам же и дал).
ZerG тут правее… вполне можно и форматом и даже плюсиками как ТС, а Prepare не зщищает от инъекций, он для другого.
Using prepared statements with placeholders for parameter values has the following benefits:
Less overhead for parsing the statement each time it is executed. Typically, database applications process large volumes of almost-identical statements, with only changes to literal or variable values in clauses such as WHERE for queries and deletes, SET for updates, and VALUES for inserts.
Protection against SQL injection attacks. The parameter values can contain unescaped SQL quote and delimiter characters.
Отредактировано py.user.next (Окт. 26, 2016 04:19:06)
Офлайн