Je fakt, ze ten muj projev se da brat ponekud arogantne, coz bylo
nestastne, takze jsem si stulec zaslouzil.
Vyhrady proti tem pohnutkam vyjadrili jini, nechtel jsem se opakovat.
Ale pro uplnost: Jiz existuje rada jinych abstrakci SQL na takove urovni
prakticnosti, obecnosti a bezpecnosti, ktere
Dobry den,
jake pohnutky mate prosim na mysli? Pokud jde o konstruktivni kritiku, budte
prosim konkretni a treba k tomu casem dojdu ;-). V opacnem pripade si podobne
svrchovane prupovidky prosim nechte.
Jeste jednou vsem dekuji za pomoc a dalsi tipy i kdyz ten priklad je skutecne
divny
Dobry den,
jake pohnutky mate prosim na mysli? Pokud jde o konstruktivni kritiku, budte
prosim konkretni a treba k tomu casem dojdu ;-). V opacnem pripade si podobne
svrchovane prupovidky prosim nechte.
Jeste jednou vsem dekuji za pomoc a dalsi tipy i kdyz ten priklad je skutecne
divny
Dne pátek, 25. dubna 2014 1:15:55 UTC+2 Petr Messner napsal(a):
Ahoj,
nejzásadnější problém, který tam vidím, je zranitelnost proti SQL injection:
http://xkcd.com/327/
Místo celého Template prostě ty parametry předej do execute:
Toto pouziti je jen priklad, ktery me napadl pro vyzkouseni, SQL injection tam
samozrejme hrozi, ale o bezpecnost tu nejde, tu bych stejne resil
pravdepodobne uz na formularich pomoci validace a csrf, pak urcite na db kde z
kodu volam stejne jedine procedury a pohledy, Ale ted si hraju s
Jestli jsem ten puvodni priklad dobre pochopil tak chyba je tady:
setattr(self, _func, self._sql(_sql = _sql))
Pridas sice atribut se spravnym jmenem, ale nestrcis do nej referenci na
tu funkci alebrz vysledek z jejiho zavolani.
potrebujes neco _zhruba_ (strilim od boku, nevyzkouseno) takoveho:
Dne pátek, 25. dubna 2014 12:40:34 UTC+2 azurIt napsal(a):
Toto pouziti je jen priklad, ktery me napadl pro vyzkouseni, SQL injection
tam samozrejme hrozi, ale o bezpecnost tu nejde, tu bych stejne resil
pravdepodobne uz na formularich pomoci validace a csrf, pak urcite na db kde
z kodu
Sice take takovemuto hrani fandim, ale dovoluji si poznamenat, ze s jinymi
pohnutkami, ktere kolega Sirovy vyjadril, spise nesouhlasim...
Ale to je jedno, treba k tomu casem dojde. :)
Nicmene, treba by se nekomu mohlo hodit to, ze pomoci deskriptoru jsem
nasel tento nejjednodussi zpusob, jak z
Zdravim,
behem studia pythonu a hrani si s Flaskem a databazemi obecne me napadla
abstrakce nad sql, kterou bych si rad zkusil vytvorit, tusim, ze nejde o nic
efektivniho, nebo noveho, ale nejsem programator a python mam jako konicek a
toto me zajima ciste ze studijnich duvodu, rad bych vedel,
Ahoj,
nejzásadnější problém, který tam vidím, je zranitelnost proti SQL injection:
http://xkcd.com/327/
Místo celého Template prostě ty parametry předej do execute:
http://initd.org/psycopg/docs/usage.html#query-parameters
Doporučuji podívat se na SQLAlchemy
10 matches
Mail list logo
