[pyar] Escapar parametros en consultas, MySQLdb

marrese en gmail.com marrese en gmail.com
Mar Feb 8 19:53:43 ART 2011

Mensaje anterior: [pyar] Escapar parametros en consultas, MySQLdb
Próximo mensaje: [pyar] Escapar parametros en consultas, MySQLdb
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

2011/2/8 Luis I. Facciolo <lifacciolo en gmail.com>:
> Podrias hacer algo asi:
> # si fuesen: primaryUsers = ["user1","user2","user3","user4","user5"]
> delete2 = "DELETE FROM Users where user NOT IN ( %s )" % (",".join(["'%s'" %
> user for user in primaryUsers]),)
>>>> output:
> "DELETE FROM Users where user NOT IN (
> 'user1','user2','user3','user4','user5' )"
> Saludos!
>

SI no me equivoco hacer el join de la lista de valores de esa forma
deja abierta la posibilidad a un injection. Si alguno de los valores
tiene una ' entre medio no es escapada.

Si usas MySQL o SQLite3 (los unicos que probe con python) podes dejar
que el mismo modulo se encargue de escapar los valores

Quizas lo que haria seria algo del estilo

primaryUsers = ["user1","user2","user3","user4","user5"]
in_cond = [ '%s' for a in range(len(primaryUsers)) ]

sql = 'DELETE FROM users WHERE user NOT IN (%s)' % (','.join(in_cond),)
cur.execute(sql, primaryUsers)

-- 
Martín

http://www.kyheo.com.ar / http://blog.kyheo.com.ar
GTalk: marrese en gmail.com

Mensaje anterior: [pyar] Escapar parametros en consultas, MySQLdb
Próximo mensaje: [pyar] Escapar parametros en consultas, MySQLdb
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list