Re: Avoiding SQL injection in Dynamic Queries (in plpgsql)
В списке pgsql-general по дате отправления:
| От | Pavel Stehule |
|---|---|
| Тема | Re: Avoiding SQL injection in Dynamic Queries (in plpgsql) |
| Дата | |
| Msg-id | 162867791003170353l309ffcd1l707174ed45fb35da@mail.gmail.com обсуждение исходный текст |
| Ответ на | Avoiding SQL injection in Dynamic Queries (in plpgsql) (Allan Kamau <kamauallan@gmail.com>) |
| Список | pgsql-general |
2010/3/17 Allan Kamau <kamauallan@gmail.com>: > When writing dynamic commands (those having "EXECUTE 'some SQL > query';), is there a way to prevent interpretation of input parameters > as pieces of SQL commands? Does quote_literal() function implicitly > protect against this unwanted behaviour. quote_literal, quote_identif are enough, but USING clause is better and faster. Sometimes you have to use a combination: execute 'select foo from ' || tabname::regclass || ' WHERE a = $1' USING value; Pavel > > Allan. > > -- > Sent via pgsql-general mailing list (pgsql-general@postgresql.org) > To make changes to your subscription: > http://www.postgresql.org/mailpref/pgsql-general >
В списке pgsql-general по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера