Python-сообщество
Форум сайта python.su
- Вы не вошли.
Уведомления
Группа в Telegram: @pythonsu
![[RSS Feed]](/static/djangobb_forum/img/feed-icon-small.png "[RSS Feed]"){kind=icon}
#1 Июнь 25, 2016 01:34:10
- ZerG
-
-
- Зарегистрирован: 2012-04-05
- Сообщения: 2580
- Репутация:
58 
- Профиль Отправить e-mail
преобразование кода для sqlite в mysql
нам не надо тема тутнам надо проблема 
покань
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости
Офлайн
#2 Окт. 25, 2016 22:42:34
- Iskatel
-
-
- Зарегистрирован: 2015-07-29
- Сообщения: 291
- Репутация:
3
- Профиль Отправить e-mail
преобразование кода для sqlite в mysql
От скуки займусь некропостингом…
Вся проблема TC в том, что он не понимает, что Prepare оно и в переводе “подготовка”, и нифига конкретного не делает. После Prepare “exec” нужен, чтоб чтото получить. (а вы развели дисскуссию на три страницы)
py.user.next
ZerG
с чего ето нельзя?
Там вопросики как раз для этого сделаны. Попробуй сделать инъекцию с вопросиком и инъекцию с форматом.
ZerG тут правее… вполне можно и форматом и даже плюсиками как ТС, а Prepare не зщищает от инъекций, он для другого. Для того чтоб загнать данные на сервер до выполнения, а потом грузить сервер а не клиента. (с селектами обычно не применяется, а вот запустить какойнить большой инсерт или альтер -это да
). Никакой защиты от иньекций тут нет. И необходимость применения ф-ций “супер-пупер-quote” обязательна.Да и “вопросики” не ТС поставил, он же сам пишет что скачал пример в нете…
ЗЫ. пруфы гдето тут: http://dev.mysql.com/doc/refman/5.7/en/sql-syntax-prepared-statements.html
Отредактировано Iskatel (Окт. 25, 2016 22:42:54)
Офлайн
#3 Окт. 26, 2016 04:17:53
- py.user.next
-
-
- От:
- Зарегистрирован: 2010-04-29
- Сообщения: 9716
- Репутация:
842
- Профиль Отправить e-mail
преобразование кода для sqlite в mysql
IskatelТо, что он защищает от инъекций написано и в питонячьей документации, и в документации к mysql (ты не прочитал ссылку, которую сам же и дал).
ZerG тут правее… вполне можно и форматом и даже плюсиками как ТС, а Prepare не зщищает от инъекций, он для другого.
mysql.com. prepared
Using prepared statements with placeholders for parameter values has the following benefits:
Less overhead for parsing the statement each time it is executed. Typically, database applications process large volumes of almost-identical statements, with only changes to literal or variable values in clauses such as WHERE for queries and deletes, SET for updates, and VALUES for inserts.
Protection against SQL injection attacks. The parameter values can contain unescaped SQL quote and delimiter characters.
Основная функция prepare - скомпилировать запрос, чтобы туда можно было разные данные подставлять и время на парсинг одного и того же не тратилось. Но в то же время эти заменители полей защищают от вставки всяких левых кавычек.
Отредактировано py.user.next (Окт. 26, 2016 04:19:06)
Офлайн