[Python] Esclusione della query vuota

Giovanni Porcari giovanni.porcari a softwell.it
Sab 13 Set 2014 19:27:24 CEST 

> Il giorno 13/set/2014, alle ore 19:01, Enrico Bianchi <enrico.bianchi a ymail.com> ha scritto:
> 
> Io non vedo ragione in questo caso. Perche` il tuo accanimento significa non voler migliorare anche in cose che fanno parte dei nostri interessi primari (e.g. e` come se io non tentassi di migliorare costantemente il mio modo di correre, nonostante non faccia il corridore come sport). A peggiorare la tua situazione e` anche il fatto che la soluzione a SQL Injection e` semplice, e ti e` stata mostrata da Raffele Salmaso. A questo punto non so nemmeno se ti vorrei come avvocato (o si, visto il tuo intenstardimento?)

Faccio l'avvocato del diavolo di questo diavolo di avvocato.

Allora Juri (che tra l'altro ha un destino di legge nel nel suo nome) a differenza
di altri suoi colleghi dimostra la voglia di usare strumenti informatici direttamente
invece di limitarsi a commissionare quello che gli serve.
Non credo certo lo faccia per risparmiare dei soldi ma solo perchè è un appassionato
e la cosa gli fa onore. Scrive alla lista per cercare un aiuto su un problema
che magari per chi ci lavora tutti i giorni è banale ma che per chi ci si dedica
per una minima parte del suo tempo, può rivelarsi difficoltoso.

Probabilmente non avendo compreso perfettamente l'uso dalle API per SQL di
python, non conosce il fatto che invece di passare un testo della query,
includendo i parametri, è normale passare il testo con dei placeholders e
dei parametri che poi verranno internamente inseriti nel testo opportunamente
serializzati e quotati nel caso.

Il buon Daniele gli fa il classico scherzetto per indicargli che questa
modalità non è certo consigliabile ed il nostro avvocato si giustifica
dicendo che tanto è per suo uso personale. Lo fa perchè probabilmente
crede di doversi sobbarcare mille controlli sui possibili tranelli che
una sql injection può avere.
Quasi certamente ignora che basta passare i parametri ed
è tutto fatto. Però, forse un poco piccato, o forse per orgoglio,
non chiede come dovrebbe fare ma insiste nel dire che per quello
che serve a lui non vale la pena.

Insomma, signori della corte, chiedo per il mio patrocinato una
piena assoluzione perchè il fatto non sussiste e mi permetto anche
di suggerire un applauso di incoraggiamento per chi, pur facendo
un'altra professione, ama sporcarsi le mani con la programmazione.

G.

P.S.
Avvocato, non tema la mia parcella. Il mio è un intervento pro bono :D

Maggiori informazioni sulla lista Python