[Python-de] mysql gefährliche zeichen "escapen"

Mathias Uebel mathias.uebel at meeloon.de
Fr Feb 2 16:40:09 CET 2007


Diez B. Roggisch schrieb:
> Tobias Bender schrieb:
>> Man könnte unerwünschte Zeichen mit re.sub einfach rauslöschen oder  
>> mit re.match testen und bei Bedarf eine exception werfen.
> 
> Das ist gefaehrlicher Unfug!!! Dabei kann einem viel zu viel passieren.
> 
> Stattdessen verwendet man die parametrisierte Form von cursor.execute, 
> etwa so:
> 
> cursore.execute("select * from some_table where some_column = %s", 
> some_column_parameter)
> 
Das ist bekannt.

Aber eventuell hatte der Frager etwas anders im Sinn:
In PHP gibt es, um derlei Angriffe auszuschließen, eine gesonderte 
Funktion: mysql_escape_string

Naja, schönes Wochenende an Alle.