[pyar] Preguntonta web.py db.select

Emanuel Herrmann emanuelsantiaggoherrmann en gmail.com
Vie Ago 20 17:55:28 ART 2010


listo gracias andubo , no importa lo de sql injection , es justamente para
probar eso :)
2010/8/20 Andrés Gattinoni <andresgattinoni en gmail.com>

> 2010/8/20 Emanuel Herrmann <emanuelsantiaggoherrmann en gmail.com>:
> > esto es en un POST
> > n=web.input().nombre
> > res= db.select('user',where = "nombre = $n ")
> > como hago para que me tome el valor que hay en n para la consulta??
>
> supongo que así:
>
> res= db.select('user',where="nombre = %s " % n)
>
> lo que no sé (porque desconozco el framework) es si en algún momento
> se escapa el contenido de n... porque sino hacerlo de esa manera puede
> permitir hacer SQL Injection [0].
>
> [0] http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>



-- 
Cordialmente
Emanuel
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20100820/3e66bd58/attachment.html>


More information about the pyar mailing list