[pyar] Preguntonta web.py db.select

Andrés Gattinoni andresgattinoni en gmail.com
Vie Ago 20 17:51:01 ART 2010

Mensaje anterior: [pyar] Preguntonta web.py db.select
Próximo mensaje: [pyar] Preguntonta web.py db.select
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

2010/8/20 Emanuel Herrmann <emanuelsantiaggoherrmann en gmail.com>:
> esto es en un POST
> n=web.input().nombre
> res= db.select('user',where = "nombre = $n ")
> como hago para que me tome el valor que hay en n para la consulta??

supongo que así:

res= db.select('user',where="nombre = %s " % n)

lo que no sé (porque desconozco el framework) es si en algún momento
se escapa el contenido de n... porque sino hacerlo de esa manera puede
permitir hacer SQL Injection [0].

[0] http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Mensaje anterior: [pyar] Preguntonta web.py db.select
Próximo mensaje: [pyar] Preguntonta web.py db.select
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list