ZerGТам вопросики как раз для этого сделаны. Попробуй сделать инъекцию с вопросиком и инъекцию с форматом.
с чего ето нельзя?
ZerGТам вопросики как раз для этого сделаны. Попробуй сделать инъекцию с вопросиком и инъекцию с форматом.
с чего ето нельзя?
ZerGНикто не использует формат, только от незнания его могут использовать. Если ты формат используешь, то ты эти поля подставляешь из переменных. А переменные могут менять свой источник. Рано или поздно её источником станет какой-то пользователь, который захочет сделать инъекцию.
При чем тут вопросики
ZerGПропускать через защиту, она проверит на инъекцию.
А как правильно делать если есть необходимость в запросах с переменными?
Usually your SQL operations will need to use values from Python variables. You shouldn’t assemble your query using Python’s string operations because doing so is insecure; it makes your program vulnerable to an SQL injection attack (see https://xkcd.com/327/ for humorous example of what can go wrong).
ZerGНу, ты ему с ошибкой написал, он же запомнит так. Надо правильно писать.
а как это относиться к теме?
>>> import MySQLdb >>> >>> db = MySQLdb.connect(host='localhost', db='test') >>> cur = db.cursor() >>> >>> user = 'user1' >>> cur.execute("""select * from users where username = %s""", user) 1L >>> result = cur.fetchone() >>> print result ('user1', 'password1') >>> >>> cur.close() >>>