[Python-de] Formatierung von SQL-Statements

Holger Duerer python-lists at duerer-sinclair.de
Fre Jul 9 10:05:37 CEST 2004


>>>>> "Gerhard" == Gerhard Häring <gh at ghaering.de> writes:
    Gerhard> Holger Duerer wrote:
    >>>>>>> "Mathias" == Mathias Uebel <mathias.uebel at meeloon.de> writes:
    Mathias> Ich habe jetzt das:
    Mathias> def _formatValue(self,value):
    >> [...]
    >> Ich hab' nicht die ganze Diskussion gelesen, aber gibt es einen
    >> Grund, warum das zu Fuß machst, statt die parametrisierte
    >> Version von cursor.execute zu nehmen?

    Gerhard> Als ich meinen Vorschlag postete, nahm ich an, dass es
    Gerhard> dafür einen Grund geben müsste, aber es scheint wohl doch
    Gerhard> nicht so zu sein ;-)

Hmmmm... ich hab da nie groß drüber nachgedacht, aber gibt es denn
*überhaupt* einen Grund das nicht über die parametrisierte Version zu
machen?

I fand immer, daß man Leuten nur diese Version beibringen sollte;
alles andere ist nicht nur eine schlechte Trennung von Daten und
Kodelogik sondern auch eine Einladung auf einen SQL-Injection-Angriff.
Vielleicht kann man in der DBI-API 3.0 ja sogar die
nicht-parametrisierte Version verbieten?  :-)

        Holger