Flask, problem z mysql

Question

Hej, mam problem. Mianowicie napisałem taki kod:

@app.route('/<element>')
def render_index(element):

    message = element

    sql = "select * from routes where path = {}".format(message)

gdzie w zmiennej sql powinno się utworzyć zapytanie select * from routes where path = cośTam, ale pymyslq zwraca mi błąd:

 "Unknown column 'favicon.ico' in 'where clause'"

jak listuje sobie zmienną sql w konsoli to dostaje coś takiego :

select * from routes where path = favicon.ico

Może mi ktoś wyjaśnić wtf i co robię źle? :)

Answer 1

Przeglądarka pyta o favicon, więc pyta o `/favicon.ico`. Trafia to potem do Twojego kodu jako 'element'.

Ogólnie, to trochę dziwne żeby cały url Twojej strony zawsze trafiał do jednego endpointa jako argument, to trochę przeczy celu routingu wbudowanego we Flaska...

Inna sprawa, że masz tutaj ewidentny trywialny SQL injection. Naucz się normalnie przekazywać argumenty do zapytania SQLowego :/

Comments

Dzięki,

podrzucisz linka do jakichś dobrych praktyk przy zapytaniach sqlowych? :)

---

Trochę zależy od tego jak gadasz z bazą (bo tego nie pokazałeś), ale ogólnie zazwyczaj sprowadza się to do:

cursor.execute("select * from x where cos={} and cos2={}".format(zmienna1, zmienna2))
->
cursor.execute("select * from x where cos=%s and cos2=%s", (zmienna1, zmienna2))

nawet krótsze :)

Można też użyć ORMa (SQLAlchemy i biblioteki Flask-SQLAlchemy) i w ogóle nie pisać SQLa:

route = Routes.query.filter_by(path=message).first()

 

---

mysql :)

Dzięki. Dopiero się uczę tego języka i pracy z nim.

Pozdrawiam