Vous avez des améliorations (ou des corrections) à proposer pour ce document :
je vous remerçie par avance de m'en faire part, cela m'aide à améliorer le site.
Accès à une base de données relationnelle : Comment se prémunir des attaques par injection SQL
Donc pour se prémunir de telles attaques, il faut impérativement interdire la construction d'ordres SQL par concaténations de bouts de chaînes de caractères.
A ne pas faire :
cursor.execute("select * from T_Users where login='" + login +
"' and password='" + password + "'")
A ne pas faire non plus, ça revient exactement au même, car l'opérateur de formatage est évalué avant l'appel à execute.
cursor.execute("""select * from T_Users where login='%s'
and password='%s'""" % (login, password))
Opérateur de formatageévalué avant l'appel à la méthode
Améliorations / Corrections
Vous avez des améliorations (ou des corrections) à proposer pour ce document : je vous remerçie par avance de m'en faire part, cela m'aide à améliorer le site.
Emplacement :
Description des améliorations :