[pyar] MySQLdb - Error con query

Angel Freire cuerty en gmail.com
Mar Feb 8 18:10:05 ART 2011

Mensaje anterior: [pyar] MySQLdb - Error con query
Próximo mensaje: [pyar] saber que script invoca la clase
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

2011/2/8 Sebastian Bassi <sebastian.bassi en globant.com>:
> 2011/2/8 Alberto Leonhell Silveira Gazzano <leonhell en gmail.com>
>>
>> Estimados, tengo un error bastante raro al consultar un DNI en una tabla
>> de usuarios. Cuando ejecuto un query con c.execute("select nrodoc from
>> solicitante where nrodoc=%s", DNI) si tengo un nrodoc "1234" (por ejemplo) y
>> consulto por el
>
> No es el tema que preguntas, pero ya que estamos: Tenes que usar "?" para
> sustituir las variable en la cadena del SQL porque asi se filtran simbolos
> que se pueden usar para una inyección de SQL.
> Mira la respuesta a esta pregunta aca:
> http://stackoverflow.com/questions/3948309/what-is-the-correct-way-to-form-mysql-queries-in-python
>
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>

Un poco mas de información sobre esto puede encontrarse en la PEP 249
[0] de la DB API v2.0. Mas exactamente cuando habla de paramstyle.

[0] http://www.python.org/dev/peps/pep-0249/

-- 
http://blog.cuerty.com

"If you want to set off and go develop some grand new thing, you don't
need millions of dollars of capitalization. You need enough pizza and
Diet Coke to stick in your refrigerator, a cheap PC to work on and the
dedication to go through with it."
- John Carmack

Mensaje anterior: [pyar] MySQLdb - Error con query
Próximo mensaje: [pyar] saber que script invoca la clase
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list