[pyar] Escapar parametros en consultas, MySQLdb

Ivan Alejandro ivanalejandro0 en gmail.com
Sab Feb 12 15:33:05 ART 2011

Mensaje anterior: [pyar] Escapar parametros en consultas, MySQLdb
Próximo mensaje: [pyar] [OT] PyCon USA - compartiendo habitación
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

2011/2/8 Gerardo Benitez <gerardo en coresecurity.com>:
> Hola, estoy armando unas consultas sql, y quiero saber cual seria la mejor
> manera de escapar algo asi.
>
> listaUsers = ""
> for user in primaryUsers:
>     listaUsers = listaUsers + "'" + user + "', "
>
> listaUsers = listaUsers + "''"
>
> delete2 = "DELETE FROM Users where user NOT IN ( %s )" % listaUsers
>
>
> Gracias de antemano.
>
>
> Gerardo.

Hola Gerardo, para escapar cadenas con comandos sql te recomiendo que mires:
- el metodo 'escape_string' dentro del modulo 'MySQLdb' si usas mysql-python [0]
- el metodo 'escape' dentro del modulo 're' [1] (tene en cuenta que
esto hace a la cadena *re*-safe y no sql-safe

[0] http://stackoverflow.com/questions/2561178/python-equivalent-of-mysql-real-escape-string-for-getting-strings-safely-into-my
[1] http://stackoverflow.com/questions/3220005/escaping-chars-in-python-and-sqlite

Encontre algunas cosas buscando un sustituto al mysql_real_escape_string de php

Espero que te sirva.
Saludos
-- 
()  ascii ribbon campaign - against html e-mail
/\  www.asciiribbon.org   - against proprietary attachments

Mensaje anterior: [pyar] Escapar parametros en consultas, MySQLdb
Próximo mensaje: [pyar] [OT] PyCon USA - compartiendo habitación
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list