Задать вопрос
RimMirK
@RimMirK
Вроде человек. Вроде учусь. Вроде пайтону

Надо ли что-то еще делать для избежания SQL инъекций?

Составляю запрос с помощью сборщика (не знаю как называется). надо ли что-то еще делать для избежания неприятностей?
self.cursor.execute("INSERT INTO `users` (`tg_id`, `fname`, `lname`, `uname`, `nickname`) VALUES (?, ?, ?, ?, ?)", 
                                         (    id,   fname,   lname,   uname,   fname ))
self.connect.commit()
  • Вопрос задан
  • 209 просмотров
Подписаться 1 Средний Комментировать
Решения вопроса 3
ThunderCat
@ThunderCat
{PHP, MySql, HTML, JS, CSS} developer
(не знаю как называется)
Называется подготовленные выражения/prepared statements, почитать можно тут.
Ответ написан
Комментировать
@rPman
Конкретно для защиты от одной из многих атак - sql injection, да
А еще нужно проверять на ошибки, проверять на валидность самих значений соответственно бизнес модели и состояний (например пользователь редактирует запись, указывая идентификатор связанной таблицы, так вот нужно проверить имеет ли он права в принципе указывать полученный id)
Ответ написан
mayton2019
@mayton2019
Bigdata Engineer
Нет. Ничего больше не нужно делать. Вообще не нужно делать никаких действий которые нельзя доказать или как-то протестировать. Иначе программирование превращается в черную магию и колдунство.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы