[pyar] SQL Injection

Lucas Moauro lagenar en gmail.com
Mar Ene 10 14:27:46 ART 2012

Mensaje anterior: [pyar] SQL Injection
Próximo mensaje: [pyar] [OT] Desarrollo para android e iphone
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Hola Pablo,

Si lees la documentación de Python para manejo de SQLite 
http://docs.python.org/library/sqlite3.html podés ver que existe una 
forma de escapear los parámetros a pasar a un query.

Dan un ejemplo de lo que no hay que hacer seguido por lo que se debe 
hacer, escapeando con '?' te salvas de cualquier inyección SQL

# Never do this -- insecure!
symbol  =  'IBM'
c.execute("... where symbol = '%s'"  %  symbol)

# Do this instead
t  =  (symbol,)
c.execute('select * from stocks where symbol=?',  t)


Espero que te sirva

Saludos,
Lucas

On 01/10/2012 11:25 AM, Pablo M. Mana wrote:
> Bueno para mi humilde mensajero tengo planeado guardar los logs dentro
> de una base de datos de sqlite.
> Como toda solución trae de la mano nuevos problemas antes de lanzarlo
> (falta bastante tiempo todavía ) tenia que leer acerca de los ataques
> que le hacen a estas bases de datos pero lo que encontré esta
> orientado a sitios web. Así que la pregunta es
> Si es posible que un mensajero sufra de un ataque ¿Como se protegerlo ?
> Lo que tenia pensado hacer es almacenar los datos recién luego de que
> son "publicados" en una ventana, no me protegería seguro pero al menos
> me enteraría
> Saludos.
> Pablo M. Mana
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar

Mensaje anterior: [pyar] SQL Injection
Próximo mensaje: [pyar] [OT] Desarrollo para android e iphone
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the pyar mailing list