in der Hoffnung nicht gesteinigt sondern erleuchtet zu werden wende ich mich mal wieder an die Experten hier.
In verschiedenen Tutorials wird immer wieder darauf hingewiesen das man sauber Programmieren soll um SQL-Injections zu verhindern.
Nun sind manche Tuturials schon über 12..14 Jahre alt und ich weiß nicht ob deren Inhalt noch aktuell bzw. State of the Art ist und manche Tutrials sind sicherlich auch fachlich nicht ganz korrekt.
Außerdem habe ich irgendwo gelesen das Methode XY gegen die "meisten" Arten von SQL Injections hilft - diese Aussage verunsichert einen als Beginner noch mehr.
Daher geht die Frage hier an die alten Hasen:
Welche Methoden von Dynamischen SQL Statements gibt es und sind alle gleich sicher? Welche sind eure Präferierten und weiß jemand ob es sprachliche Updates in den letzten 10 Jahren gab?
Außerdem sehe ich auch des Öfteren sowas:
Code: Alles auswählen
sql = '''select spalte1, spalte2
from mytable;'''
cursor.execute(sql)
Ich hoffe Ihr habt Verständnis, ich bin durch viel lesen der letzten Tage an diesem Punkt nun eher verunsichert auf das falsche Pferd zu setzen, würde es aber gern richtig machen und im besten Falle auch verstehen warum (Wobei mir das Grundprinzip ja klar ist)
Vielen Dank für eure Zeit und Mühe
Richarde