El día 2 de diciembre de 2016, 17:26, GEIS AUGUSTO GARCIA ROMERO <geist...@gmail.com> escribió: > Estoy taratando de hacer unas liberias que funcione similar a un ORM para > trabajar con ORACLE ya que los ORM como SQLAlchemy y el de DJANGO tu > nececitas crear unos.py para mapear las estructuras de las tabalas y crear > la base de datos apartir de esos .py pero el caso surge cuando ya existe la > base de datos y quieres usarla con un ORM , y la consulta es la siguiente.
Esta premisa es falsa, puedes obtener la definición de los modelos a partir de la base de datos existente: http://docs.sqlalchemy.org/en/latest/core/reflection.html Espero que con eso te puedas evitar usar el formateo de cadenas que tan facil pone acabar metiendo un sql injection en tu codigo. Imagina que montas la query tipo: "SELECT %s FROM table1" % fields y llega el tipico listo y consigue falsea la variable fields para que en vez de contener "campo1, campo2" contenga "campo1; TRUNCATE tabla_importante; --" o algo por el estilo. Si sigues por la vía de generar las sentencias sql repasa bien que las variables que usan están bien sanitizadas para evitarte problemas. Un saludo, Javi _______________________________________________ Python-es mailing list Python-es@python.org https://mail.python.org/mailman/listinfo/python-es
