<div dir="ltr">2014-09-11 9:07 GMT+02:00 Juri Rudi <span dir="ltr"><<a href="mailto:rudijuri@gmail.com" target="_blank">rudijuri@gmail.com</a>></span>:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Il 11/set/2014 08:27 "Juri Rudi" <<a href="mailto:rudijuri@gmail.com" target="_blank">rudijuri@gmail.com</a>> ha scritto:<br><span class=""><blockquote type="cite"><p dir="ltr">
><br>
> Il giorno 11/set/2014, alle ore 08:14, Simone Federici <<a href="mailto:s.federici@gmail.com" target="_blank">s.federici@gmail.com</a>> ha scritto:<br>
><br>
> , come posso fidarmi di un programmatore <br>
><br>
> Faccio l'avvocato.</p>
<p dir="ltr">Questo siega il tuo accanimento nel voler avere ragione :-)</p></blockquote><br></span><div>Solo quando ce l'ho :)</div><div><br></div><div>Nel mio caso (script per hobby finalizzato ad un a rubrichetta off line che utilizzo solo io), attuare PRIMA DI OGNI COSA la sanitizzazione delle tabelle contro sql injection sarebbe assurdo.</div></div></blockquote><div>No, è recuperare i dati che ti servono in maniera corretta.<br>Nel tuo modo (creando la query a mano) hai potenziali problemi alla finestra che stanno aspettando, senza stare a pensare alla sicurezza.<br></div><div>Metti che hai un cognome come "D'Adamo" e sei spacciato, la tua query perde di significato.<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div></div><div>Capisco, invece, che tutti i programmatori seri siano partiti da là: il primo script sql di tutti voi, anche solo di prova o per gioco, è stato contro la query malevola, altrui o addirittura masochisticamente propria, capace di fare il drop delle tabelle.</div></div></blockquote><div>Scusa, ma non mi sembra sia poi così tragico cambiare da<br><br>sql = ".. %s %s .." % (p1,p2,)<br></div><div>c.execute(sql)<br><br></div><div>a<br><br></div><div>sql = "... %s %s ..."<br></div><div>c.execute(sql, (p1, p2))<br><br></div><div>anzi risparmi dei caratteri ;)<br></div><div> <br></div><div>Per il resto, se non accetti consigli (banali o avanzati che siano) su come gestire correttamente le query con python, come pensi si voglia dare una mano per un problema di come impostare una query sql che faccia quello che chiedi che con python (e il gruppo su cui posti) non c'entra nulla?<br></div><div>Io non ne ho voglia.<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div></div><div>Ci scommetterei un ricorso per Cassazione :)</div></div><br>_______________________________________________<br>
Python mailing list<br>
<a href="mailto:Python@lists.python.it">Python@lists.python.it</a><br>
<a href="http://lists.python.it/mailman/listinfo/python" target="_blank">http://lists.python.it/mailman/listinfo/python</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>| Raffaele Salmaso<br>| <a href="http://salmaso.org" target="_blank">http://salmaso.org</a><br>| <a href="https://bitbucket.org/rsalmaso" target="_blank">https://bitbucket.org/rsalmaso</a><br>| <a href="http://gnammo.com" target="_blank">http://gnammo.com</a><br>
</div></div>