Quali segnaposti posso usare con palestreqq. Sto ottenendo i miei valori dalla stringa di query html in modo che siano tutti di tipo stringa. Questo è sicuro per quanto riguarda l'iniezione sql?palestre e segnaposto
query = dictify_querystring(Response.QueryString)
employeedata = conn.execute_row("SELECT * FROM employees WHERE company_id=%s and name = %s", (query["id"], query["name"]))
Quale meccanismo viene utilizzato in questo caso per evitare iniezioni?
Non c'è molto in termini di documentazione per pymssql ...
Forse v'è una migliore modulo python ho potuto utilizzare per interfacciarsi con SQL Server 2005.
Grazie,
Barry
Mi mancava la parentesi, ma non ho bisogno di virgolette intorno a% s. – Baz
Ah sì, non c'erano citazioni nella domanda collegata. Dovrebbe avere pagato più attenzione. Scusa per esserti infastidito inutilmente. –
Ma!Potrebbe aiutarti a scoprire se la tua query è sicura se hai eseguito SQL Profiler e hai dato un'occhiata alla query effettiva passata al server. Se assomiglia a 'sp_executesql 'la tua query', '@var definizioni', arg values', allora molto probabilmente il tuo metodo è sicuro per SQL-injection. –