[Python-de] mysql gefährliche zeichen "escapen"
Mathias Uebel
mathias.uebel at meeloon.de
Fr Feb 2 16:40:09 CET 2007
Diez B. Roggisch schrieb:
> Tobias Bender schrieb:
>> Man könnte unerwünschte Zeichen mit re.sub einfach rauslöschen oder
>> mit re.match testen und bei Bedarf eine exception werfen.
>
> Das ist gefaehrlicher Unfug!!! Dabei kann einem viel zu viel passieren.
>
> Stattdessen verwendet man die parametrisierte Form von cursor.execute,
> etwa so:
>
> cursore.execute("select * from some_table where some_column = %s",
> some_column_parameter)
>
Das ist bekannt.
Aber eventuell hatte der Frager etwas anders im Sinn:
In PHP gibt es, um derlei Angriffe auszuschließen, eine gesonderte
Funktion: mysql_escape_string
Naja, schönes Wochenende an Alle.
Mehr Informationen über die Mailingliste python-de