[Python-de] mysql gefährliche zeichen "escapen"

Stefan Schwarzer sschwarzer at sschwarzer.net
Fr Feb 2 18:23:13 CET 2007


Hallo Paul,

On 2007-02-02 17:54, Paul Rauch wrote:
> Stefan Schwarzer schrieb:
>> On 2007-02-02 15:31, Paul Rauch wrote:
>>> würde gerne wissen welche funktion es in python gibt um gefährliche
>>> zeichen, wie ' in mysql zu escapen, damit mir keiner nen inject bastelt
>> siehe meine Antwort in diesem Thread um 15:02 Uhr. Und wie
>> Andreas Pakulat richtig sagte: die escape-Funktion braucht
>> man nicht. Der zusätzliche Parameter für cursor.execute
>> ist die "richtige", sauberere, Lösung.
>
> uhm, das verstehe ich nicht wirklich..
> ich nehme von diesem programm, dass ich schreiben will nutzerangaben an.
> sagen wir mal diese sind in der variable nutzerangaben gespeichert.
> 
> und dann will ich halt ein
> mysql.cursor.execute('UPDATE db.table SET x =\'Nutzerangeben\' WHERE y =
> \'bla\' LIMIT 1')
> und dabei verhindern, dass er weitere ' reinschmuggelt und dadurch ne
> mysqlinjection durchkriegt
> 
> und wie funktioniert dieser zusätzliche parameter, was macht der?
> versteh das nicht..

damit ich weiß, wie weit ich ausholen muss: Wie weit hast
du meine Mail an die Liste (2007-02-02 15:02:39) verstanden
oder nicht? Am besten antwortest du auf jene Mail und wir
diskutieren dort im Thread weiter.

Viele Grüße
Stefan