[Python-de] mysql gefährliche zeichen "escapen"

Paul Rauch LightLan at lightlan.de
Fr Feb 2 17:54:16 CET 2007


Stefan Schwarzer schrieb:
> Hallo Paul,
> 
> On 2007-02-02 15:31, Paul Rauch wrote:
>> würde gerne wissen welche funktion es in python gibt um gefährliche
>> zeichen, wie ' in mysql zu escapen, damit mir keiner nen inject bastelt
> 
> siehe meine Antwort in diesem Thread um 15:02 Uhr. Und wie
> Andreas Pakulat richtig sagte: die escape-Funktion braucht
> man nicht. Der zusätzliche Parameter für cursor.execute
> ist die "richtige", sauberere, Lösung.
> 
> Viele Grüße
> Stefan
> 
> _______________________________________________
> python-de maillist  -  python-de at python.net
> http://python.net/mailman/listinfo/python-de
> 
uhm, das verstehe ich nicht wirklich..
ich nehme von diesem programm, dass ich schreiben will nutzerangaben an.
sagen wir mal diese sind in der variable nutzerangaben gespeichert.

und dann will ich halt ein
mysql.cursor.execute('UPDATE db.table SET x =\'Nutzerangeben\' WHERE y =
\'bla\' LIMIT 1')
und dabei verhindern, dass er weitere ' reinschmuggelt und dadurch ne
mysqlinjection durchkriegt

und wie funktioniert dieser zusätzliche parameter, was macht der?
versteh das nicht..

mfg Light Lan