<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Riccardo Brazzale <span dir="ltr"><<a href="mailto:riccardo.brazzale@gmail.com" target="_blank">riccardo.brazzale@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">stringa = my.escape_string(stringa)</blockquote></div><br><div><div>non serve, l'escape è gestito automaticamente dalle API</div><div>c.execute(sql, (<span style="color:rgb(0,0,0);font-family:arial,sans-serif;font-size:16px">"</span><span style="color:rgb(0,0,0);font-family:arial,sans-serif;font-size:13px">Daniele'; DROP TABLE rubrica; --"</span>,))</div></div><div><br></div><div>quello che non bisogna assolutamente fare è</div><div>c.execute(sql % (<span style="color:rgb(0,0,0);font-family:arial,sans-serif;font-size:16px">"</span><span style="color:rgb(0,0,0);font-family:arial,sans-serif;font-size:13px">Daniele'; DROP TABLE rubrica; --",))</span><br></div><div><br></div>
</div></div>