[python] Vkladani listu do SQL prikazu

superman feed na centrum.cz
Pátek Srpen 15 13:42:29 CEST 2008


V každé databázi jde zkonstruovat nebezpečný příkaz, v naprosto každé. I 
té vaší "dospělejší" databázi. Je to o to snažší, že jen málokdo zná 
úplnou syntaxi SQL pro daný databázový stroj, a jeho zákoutí. A databáze 
nic nekontroluje, pro ní tím, že jste se přihlásil, a tím, že máte 
potřebná práva na SQL dotaz, a návazné databáze, tabulky, pohledy, a 
další databázové objekty veškerá kontrola končí. Jste nalogovaný a máte 
potřebné role? Databáze dotaz vykoná, ať je jakýkoli.

Omlouvám se, že jsem si dovolil uvést příklad na mysql, příště budu 
uvádět oracle a db2. Sice to většině lidem z konference nebude k užitku, 
ale vyhnu se aspoň narážkám na mysql.

M. Ponkrác

> Dne 15. srpen 2008 11:51 Jaroslav Lukesh <lukesh na seznam.cz> napsal(a):
>   
>> tak se nestane vůbec nic, maximálně nějaký ohromný sql error. syntaxe dotazů
>> má jistá pravidla. Ikdyž dětskou hračku mysql nepoužívám, tak nevím jestli
>> to opravdu nedovolí, v kdejaké dospělejší databázi to neprojde.
>>
>>     



Další informace o konferenci Python