DelphinCoder
Ноя. 17, 2009 22:40:13
Поддерживает ли Python PreparedStatement? и если нет, то как обезопасить себя от SqlInjection?
dimabest
Ноя. 18, 2009 00:57:01
поддерживает.
DelphinCoder
Ноя. 18, 2009 07:41:54
напишите пожалуйста каким образом? в доках описано только как через курсор выполнить запрос, но что-то я не нашел там PreparedStatement…
igor.kaist
Ноя. 18, 2009 11:35:25
Какой БД (библиотекой) пользуетесь? С этого нужно начать…
regall
Ноя. 18, 2009 12:09:41
DelphinCoder
в доках описано только как через курсор выполнить запрос, но что-то я не нашел там PreparedStatement…
ы, в доках к чему?
DelphinCoder
Ноя. 20, 2009 19:24:50
в доках к питону. а какая бд должно быть пофигу, ибо запрос формируется в скрипте, а не в бд
Ferroman
Ноя. 20, 2009 19:47:01
Вы вообще понимаете, что “формирование запроса в скрипте” это, по сути, оперирование с API библиотеки доступа к базе денных? Которая разная у каждой конкретной базы?
И что последняя ваша фраза говорит что вы не понимаете, о чём пишите?
DelphinCoder
Ноя. 20, 2009 19:57:23
PreparedStatements подразумевают формирование специального объекта запроса, где вместо параметров стоят плейсхолдеры (в яве, например, это знак ?). потом специальными методами этого объекта-запроса вместо этих вопросиков (опять же по аналогии с явой) вставляются реальные значения. теоретически это дает: ускорение выполнения запроса и защиту от SqlInjection.
В Python DB API это есть???
Андрей Светлов
Ноя. 20, 2009 20:40:10
Есть. Правда, зависит от DBAPI - иногда это “вопросики”, а иногда - “процентики”. Так что БД далеко не по фигу - именно она их обрабатывает :)
DelphinCoder
Ноя. 20, 2009 21:08:48
Андрей Светлов
Есть. Правда, зависит от DBAPI - иногда это “вопросики”, а иногда - “процентики”. Так что БД далеко не по фигу - именно она их обрабатывает :)
Не согласен. Не первый день программы пишу и не на одном языке. Что заметил: вопросики, процентики или :имя_параметра - это зависит от языка программирования.