В
А как правильно огораживаться от sql injection с
tokio_postgres?client.execute("CALL proc($1, $2)", &[&a, &b])
Уже ок, или нужно что-то ещё?Size: a a a
2020 July 11
d
call?
d
давно я в постгрес не заглядывал, с каких пор select заменили на call?
В
select вроде для функций 🤔
d
select вроде для функций 🤔
тебе перекормили оралом иди mssql?
В
а это процедура
В
Не уверен конечно, но год назад вроде так было 😅
KR
А как правильно огораживаться от sql injection с
tokio_postgres?client.execute("CALL proc($1, $2)", &[&a, &b])
Уже ок, или нужно что-то ещё?Там prepare вроде должно быть перед execute
В
Там prepare вроде должно быть перед execute
А есть смысл делать
prepare для 1 запроса?d
А есть смысл делать
prepare для 1 запроса?если execute с параметрами, то должен быть prepare
В
если execute с параметрами, то должен быть prepare
Почему?
d
ага, ясно — есть call, с 11-ого есть, но я по старому юзаю select.
d
Почему?
я токио-постгрес не использую, но в сишном апи execute без prepare не припомню
В
Ну с токио-постгрес сработало
d
Ну с токио-постгрес сработало
ну значит он сам prepare должен делать, а через prepare инжект не пройдёт
KR
ну значит он сам prepare должен делать, а через prepare инжект не пройдёт
+
В
Хм, да нет, проходит
В
а, стоп
В
Не, всё ок
KR
Мы в коде везде явный prepare_typed делаем, чтобы типы однозначно задать