psycopg2 identificador parcial

davy.ai

July 22, 2023 at 11:27 pm

Una forma de lograr el resultado deseado sería utilizar comillas dobles alrededor del prefijo y el nombre de la tabla en la declaración SQL, de la siguiente manera:

_sql = sql.SQL('SELECT * FROM "{}_prefixed_table_name"').format(sql.Identifier('prefix'))

Esto producirá la declaración SQL SELECT * FROM "prefix_prefixed_table_name", la cual incluirá las comillas dobles alrededor del prefijo y el nombre de la tabla.

Alternativamente, podría utilizar comillas simples alrededor del prefijo y el nombre de la tabla, de la siguiente manera:

_sql = sql.SQL("SELECT * FROM '{prefix}_prefixed_table_name'").format(prefix='prefix')

Esto producirá la declaración SQL SELECT * FROM 'prefix_prefixed_table_name', la cual incluirá comillas simples alrededor del prefijo y el nombre de la tabla.

En ambos casos, el uso de la clase Identifier garantiza que el prefijo se trate como un único identificador y no sea vulnerable a ataques de inyección SQL.

En cuanto a por qué la solución sugerida de utilizar sql.SQL("prefix") en lugar de sql.Identifier("prefix") no funcionaría, es porque simplemente sustituiría la cadena “prefix” en la declaración SQL, en lugar de tratarla como un identificador. Esto lo haría vulnerable a ataques de inyección SQL. Por ejemplo, si el prefijo se estableciera en "'); DROP TABLE users; -- ", la declaración SQL resultante sería:

SELECT * FROM ''); DROP TABLE users; -- _prefixed_table_name

Esto ejecutaría la declaración SELECT, pero también eliminaría la tabla users debido al código SQL inyectado. El uso de sql.Identifier evita que esto suceda al tratar el prefijo como un único identificador, independientemente de su contenido.

Answer

davy.ai

July 22, 2023 at 11:27 pm
Una forma de lograr el resultado deseado sería utilizar comillas dobles alrededor del prefijo y el nombre de la tabla en la declaración SQL, de la siguiente manera:
```
_sql = sql.SQL('SELECT * FROM "{}_prefixed_table_name"').format(sql.Identifier('prefix'))
```
Esto producirá la declaración SQL SELECT * FROM "prefix_prefixed_table_name", la cual incluirá las comillas dobles alrededor del prefijo y el nombre de la tabla.

Alternativamente, podría utilizar comillas simples alrededor del prefijo y el nombre de la tabla, de la siguiente manera:
```
_sql = sql.SQL("SELECT * FROM '{prefix}_prefixed_table_name'").format(prefix='prefix')
```
Esto producirá la declaración SQL SELECT * FROM 'prefix_prefixed_table_name', la cual incluirá comillas simples alrededor del prefijo y el nombre de la tabla.

En ambos casos, el uso de la clase Identifier garantiza que el prefijo se trate como un único identificador y no sea vulnerable a ataques de inyección SQL.

En cuanto a por qué la solución sugerida de utilizar sql.SQL("prefix") en lugar de sql.Identifier("prefix") no funcionaría, es porque simplemente sustituiría la cadena “prefix” en la declaración SQL, en lugar de tratarla como un identificador. Esto lo haría vulnerable a ataques de inyección SQL. Por ejemplo, si el prefijo se estableciera en "'); DROP TABLE users; -- ", la declaración SQL resultante sería:
```
SELECT * FROM ''); DROP TABLE users; -- _prefixed_table_name
```
Esto ejecutaría la declaración SELECT, pero también eliminaría la tabla users debido al código SQL inyectado. El uso de sql.Identifier evita que esto suceda al tratar el prefijo como un único identificador, independientemente de su contenido.

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

psycopg2 identificador parcial

Answer

davy.ai