Първо, съвсем нов съм в Stack Overflow (първият публикуван въпрос) и форумите като цяло. В допълнение към този провал, аз също съм нов в разработката и базите данни, различни от нивото на системна администрация.
Виждам няколко въпроса относно използването на променливи в Python с модула MySQLdb в stackoverflow. Много от тях споменават код за SQL инжектиране като този. Отговорът със 70+ гласа за ви дава пример, при който % изглежда е решаващият знак за това дали вашият код е податлив на SQL инжектиране или не. Въпросите ми са:
Правилно ли разбирам, че "" % (VAR) вместо "", (VAR) е това, което прави разликата?
Ако случаят е такъв, тогава тази публикация също ли е пример или има нещо различно с използване на % за обозначаване на таблица срещу клауза?
Заслужава да се отбележи, че се опитах да науча повече за SQL Injection. Не съм сигурен дали съм твърде гъст или материалът е, но просто не следя. В тази статия от cisco, която се опитах да следвам, намирам че не се споменава процент, но вместо това изглежда, че използват?. Така че, ако някой може да ме насочи към някаква "неспецифична" документация, ще съм благодарен!