← Сtrl

py.user.next · Июнь 17, 2016 12:33:42

ZerG
с чего ето нельзя?

Там вопросики как раз для этого сделаны. Попробуй сделать инъекцию с вопросиком и инъекцию с форматом.

Отредактировано py.user.next (Июнь 17, 2016 12:34:05)

ZerG · Июнь 17, 2016 12:47:03

При чем тут вопросики если я дал ему принципиально другой подход и запрос?

Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

py.user.next · Июнь 17, 2016 13:31:42

ZerG
При чем тут вопросики

Никто не использует формат, только от незнания его могут использовать. Если ты формат используешь, то ты эти поля подставляешь из переменных. А переменные могут менять свой источник. Рано или поздно её источником станет какой-то пользователь, который захочет сделать инъекцию.

ZerG · Июнь 17, 2016 14:04:01

А как правильно делать если есть необходимость в запросах с переменными?

Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

py.user.next · Июнь 17, 2016 14:53:41

ZerG
А как правильно делать если есть необходимость в запросах с переменными?

Пропускать через защиту, она проверит на инъекцию.
Почитай там
python.org. sqlite

Usually your SQL operations will need to use values from Python variables. You shouldn’t assemble your query using Python’s string operations because doing so is insecure; it makes your program vulnerable to an SQL injection attack (see https://xkcd.com/327/ for humorous example of what can go wrong).

ZerG · Июнь 17, 2016 15:54:36

прекрасно - а как это относиться к теме?

Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

py.user.next · Июнь 18, 2016 01:21:35

ZerG
а как это относиться к теме?

Ну, ты ему с ошибкой написал, он же запомнит так. Надо правильно писать.

ZerG · Июнь 19, 2016 22:44:46

Я не вижу в данном примере кода никакой ошибки.

Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

py.user.next · Июнь 20, 2016 01:16:01

>>> import MySQLdb
>>> 
>>> db = MySQLdb.connect(host='localhost', db='test')
>>> cur = db.cursor()
>>> 
>>> user = 'user1'
>>> cur.execute("""select * from users where username = %s""", user)
1L
>>> result = cur.fetchone()
>>> print result
('user1', 'password1')
>>> 
>>> cur.close()
>>>

Grau · Июнь 24, 2016 19:55:38

Ребята можете мне тоже помочь?
мне нужно все сделать средствами QT
тема тут

Python-сообщество

Уведомления

#1 Июнь 17, 2016 12:33:42

преобразование кода для sqlite в mysql

#2 Июнь 17, 2016 12:47:03

преобразование кода для sqlite в mysql

#3 Июнь 17, 2016 13:31:42

преобразование кода для sqlite в mysql

#4 Июнь 17, 2016 14:04:01

преобразование кода для sqlite в mysql

#5 Июнь 17, 2016 14:53:41

преобразование кода для sqlite в mysql

#6 Июнь 17, 2016 15:54:36

преобразование кода для sqlite в mysql

#7 Июнь 18, 2016 01:21:35

преобразование кода для sqlite в mysql

#8 Июнь 19, 2016 22:44:46

преобразование кода для sqlite в mysql

#9 Июнь 20, 2016 01:16:01

преобразование кода для sqlite в mysql

#10 Июнь 24, 2016 19:55:38

преобразование кода для sqlite в mysql

Board footer