Dne pátek, 25. dubna 2014 1:15:55 UTC+2 Petr Messner napsal(a):
Ahoj,
nejzásadnější problém, který tam vidím, je zranitelnost proti SQL injection:
http://xkcd.com/327/
Místo celého Template prostě ty parametry předej do execute:
Toto pouziti je jen priklad, ktery me napadl pro vyzkouseni, SQL injection tam
samozrejme hrozi, ale o bezpecnost tu nejde, tu bych stejne resil
pravdepodobne uz na formularich pomoci validace a csrf, pak urcite na db kde z
kodu volam stejne jedine procedury a pohledy, Ale ted si hraju s
Jestli jsem ten puvodni priklad dobre pochopil tak chyba je tady:
setattr(self, _func, self._sql(_sql = _sql))
Pridas sice atribut se spravnym jmenem, ale nestrcis do nej referenci na
tu funkci alebrz vysledek z jejiho zavolani.
potrebujes neco _zhruba_ (strilim od boku, nevyzkouseno) takoveho:
Dne pátek, 25. dubna 2014 12:40:34 UTC+2 azurIt napsal(a):
Toto pouziti je jen priklad, ktery me napadl pro vyzkouseni, SQL injection
tam samozrejme hrozi, ale o bezpecnost tu nejde, tu bych stejne resil
pravdepodobne uz na formularich pomoci validace a csrf, pak urcite na db kde
z kodu
Sice take takovemuto hrani fandim, ale dovoluji si poznamenat, ze s jinymi
pohnutkami, ktere kolega Sirovy vyjadril, spise nesouhlasim...
Ale to je jedno, treba k tomu casem dojde. :)
Nicmene, treba by se nekomu mohlo hodit to, ze pomoci deskriptoru jsem
nasel tento nejjednodussi zpusob, jak z