Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 15:02, Nicola Larosa ha scritto:

Juri Rudi wrote:

Comunque, se può servire, la mia domanda non era su sql injection: se
questa lista fosse una table mysql, dovrebbe essere sanitizzata :)

Ma nessuno gli dice di stare alla larga da MySQL? Davero davero? :-o


Non mi sognerei mai di intimare a chicchessia di tenersi alla larga dal 
diritto, quasi fosse una materia riservata alla setta esclusiva dei 
giuristi, di cui pretenderei l'esclusiva.
Anzi, quando un cliente mi chiede un parere legale perché deve fare una 
certa operazione giuridica come ad esmepio acquistare un immobile, 
semmai gli correggo la bozza del preliminare, ma non gli intimo mica di 
stare alla larga dalla negoziazione.

Vabe', evidentemente non siamo tutti uguali. Meglio così.

Dopo tutti i vs. consigli, voglio darvene anch'io uno inutile.
Non dovete essere gelosi di chi, come me, per diletto (ripeto: per puro 
diletto), scrive due righe di codice in python ed sql per farsi una 
rubrichetta personale, che peraltro -sia detto per inciso- funziona da 
Dio (anche questo non deve dispiacervi).
Comunque, per me questo thread, dal quale ho imparato abbastanza 
(sebbene non di programmazione, ma sull'umana esistenza) finisce qua e 
vi ringrazio.

Statemi bene.
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 13:23, AlberTo De Prezzo ha scritto:



Il giorno 11 settembre 2014 12:28, Simone Federici 
mailto:s.feder...@gmail.com>> ha scritto:



propongo un ban immediato a tutti gli avvocati infiltrati in
questa lista


e anche degli idraulici! :D


Sul primo ban, voto a favore (dopo l'auto-sql injecton, non c'è da 
meravigliarsi di nulla).
Ma dei secondi e soprattutto del loro scotch abbiamo tutti troppo 
bisogno, pensateci bene.
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 12:05, Marco Beri ha scritto:
2014-09-11 11:54 GMT+02:00 Juri Rudi <mailto:rudij...@gmail.com>>:


Il 11/09/2014 11:17, Marco Beri ha scritto:

2014-09-11 10:38 GMT+02:00 Simone Federici mailto:s.feder...@gmail.com>>:

non ti chiederò mai aiuto se avessi bisogno di un avvocato


Ecco, questo intendevo come rischio.

Magari sei un avvocato eccezionale, ma l'atteggiamento delle
persone di fronte ai problemi di solito non cambia e da questo
deriva il commento, salace e sagace, di Simone.


Ciascuno è libero di scegliersi l'avvocato in base a come
configura il proprio database mysql.
In particolare, chiunque abbia  un problema di usucapione farebbe
bene a stare alla larga da un legale che non configuri il proprio
database in modo da evitare che egli stesso dia il comando di drop.
Mi raccomando.



Uhm... vedo che sono riuscito a spiegarmi proprio bene :-)


No no, ti sei spiegato benissimo: tecnicamente, si tratta di una 
fallacia (nella specie: indebita generalizzazione, fondata su mera 
induzione, peraltro su dati causalmente irrilevanti) :)

Ma il pensiero è libero :)
Meno, quello strettamento logico :)

___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 10:53, Simone Federici ha scritto:

> inoltre si usa solitamente il LIKE e il lower
a tal proposito scrivi LOWER(paese) LIKE %s


Grazie, finalmente una risposta in topic.
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 11:17, Marco Beri ha scritto:
2014-09-11 10:38 GMT+02:00 Simone Federici >:


non ti chiederò mai aiuto se avessi bisogno di un avvocato


Ecco, questo intendevo come rischio.

Magari sei un avvocato eccezionale, ma l'atteggiamento delle persone 
di fronte ai problemi di solito non cambia e da questo deriva il 
commento, salace e sagace, di Simone.


Ciascuno è libero di scegliersi l'avvocato in base a come configura il 
proprio database mysql.
In particolare, chiunque abbia  un problema di usucapione farebbe bene a 
stare alla larga da un legale che non configuri il proprio database in 
modo da evitare che egli stesso dia il comando di drop.

Mi raccomando.
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

> Il giorno 11/set/2014, alle ore 09:21, Raffaele Salmaso 
>  ha scritto:
> 
>> 
> Scusa, ma non mi sembra sia poi così tragico cambiare da
> 
> sql = ".. %s %s .." % (p1,p2,)
> c.execute(sql)
> 
> a
> 
> sql = "... %s %s ..."
> c.execute(sql, (p1, p2))


Lo farò, grazie.
Ma il mio problema, adesso, era un altro.

> 
> Io non ne ho voglia.

Capisco.___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

> Il giorno 11/set/2014, alle ore 09:07, Juri Rudi  ha 
> scritto:

>  il primo script sql di tutti voi, anche solo di prova o per gioco, è stato 
> contro la query malevola, altrui o addirittura masochisticamente propria, 
> capace di fare il drop delle tabelle.


Comunque, se può servire, la mia domanda non era su sql injection: se questa 
lista fosse una table mysql, dovrebbe essere sanitizzata :)
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

> Il giorno 11/set/2014, alle ore 08:40, Marco Beri  ha 
> scritto:
> 
> 
> Il 11/set/2014 08:27 "Juri Rudi"  ha scritto:
> >
> > Il giorno 11/set/2014, alle ore 08:14, Simone Federici 
> >  ha scritto:
> >
> > , come posso fidarmi di un programmatore 
> >
> > Faccio l'avvocato.
> 
> Questo siega il tuo accanimento nel voler avere ragione :-)
> 

Solo quando ce l'ho :)

Nel mio caso (script per hobby finalizzato ad un a rubrichetta off line che 
utilizzo solo io), attuare PRIMA DI OGNI COSA la sanitizzazione delle tabelle 
contro sql injection sarebbe assurdo.

Capisco, invece, che tutti i programmatori seri siano partiti da là: il primo 
script sql di tutti voi, anche solo di prova o per gioco, è stato contro la 
query malevola, altrui o addirittura masochisticamente propria, capace di fare 
il drop delle tabelle.

Ci scommetterei un ricorso per Cassazione :)___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

> Il giorno 11/set/2014, alle ore 08:14, Simone Federici  
> ha scritto:

> , come posso fidarmi di un programmatore 


Faccio l'avvocato.



> io se uno attacca i tubi con lo scoth, lo bollo come incompetente.

Faresti bene, se fosse un idraulico, specie se lo facesse nel bagno di un 
cliente.
Saresti troppo severo se pretendessi la stessa competenza, cura e meticolosità 
da chi gioca con due tubi per diletto rischiando, al più, di fare qualche 
schizzetto d'acqua in giardino.

Comunque grazie, il metodo competente e meticoloso lo condivido, anche per gli 
hobby. Ma ciascuno ha i propri limiti, e per fare ciò che responsabilmente mi 
intimate di fare con la mia rubrichetta va al di là dei miei, per competenza e 
tempo.___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 00:37, Simone Federici ha scritto:

 Juri Rudi mailto:rudij...@gmail.com>> wrote:

Direi quindi che il problema degli accenti non ha nulla a che fare
con il drop.


fammi capire, se fai l'idraulico a casa tua puoi attaccare i tubi con 
lo scotch?


Diciamo che se un servizio non è esposto né al web né all'uso di terzi, 
non tutte le cautele sono necessarie, imho.
Se la rubrica in questione la uso solo io e dovessi auto proteggermi da 
sql injection, farei meglio ad attaccare i tubi con lo scotch.


Comunque grazie, ho risolto.
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 11/09/2014 00:17, m ha scritto:

* Juri Rudi (rudij...@gmail.com) [140910 23:41]:


Il 10/09/2014 23:38, Daniele Varrazzo ha scritto:

   Daniele'; DROP TABLE rubrica; --


Immagino che mi secchi la tabella.
Ma dubito che io farei mai quel tipo di ricerca :)



tu non la faresti mai, ma il problema è che Daniele si chiama proprio
così, cioè all'anagrafe di secondo nome fa '; DROP TABLE rubrica; --


Immagino.
Solo che quella rubrica deve e può essere compulsata solo da me; 
chiunque altro può ovviamente farlo, ma non altrettanto legittimamente, 
cioè senza correre il seppur remoto rischio di essere incriminato per 
accesso abusivo ad un sistema informatico :)
Direi quindi che il problema degli accenti non ha nulla a che fare con 
il drop.




pensa che da piccolo lo chiamavano Little Danny Tables [1]

[1] ovviamente qua: http://xkcd.com/327/



Ottimo :)
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 10/09/2014 23:38, Daniele Varrazzo ha scritto:

Daniele'; DROP TABLE rubrica; --


Immagino che mi secchi la tabella.
Ma dubito che io farei mai quel tipo di ricerca :)
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 10/09/2014 22:23, Raffaele Salmaso ha scritto:
2014-09-10 22:08 GMT+02:00 Juri Rudi <mailto:rudij...@gmail.com>>:


cliens = "select cognome, nome, paese from rubrica where
(cognome = '%s' OR nome = '%s' OR paese = '%s')" % (cognome.get(),
nome.get(), paese.get())
cursore.execute(cliens)

Fai fare l'inserimento dei dati al db, non cercare di farne te 
l'escape (generando la stringa sql). Lui sa come fare.

http://dev.mysql.com/doc/connector-python/en/connector-python-example-cursor-select.html

sql = "select cognome, nome, paese from rubrica where (cognome = %s OR 
nome = %s OR paese = %s"

cursore.execute(sql, (cognome.get(), nome.get(), paese.get())


Grazie.
Anche così, però, l'operatore logico OR mi restituisce ancora tutti 
quelli di "Modena" e non solo "Paolo" :(
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] Esclusione della query vuota

[Juri Rudi]

Il 10/09/2014 22:15, Daniele Varrazzo ha scritto:

On 2014-09-10 21:08, Juri Rudi wrote:


def cerca_def():
cliens = "select cognome, nome, paese from rubrica where
(cognome = '%s' OR nome = '%s' OR paese = '%s')" % (cognome.get(),
nome.get(), paese.get())


Che succede se uno ha un apostrofo nel cognome?


Al momento mi dà errore.
Ma sto convertendo le tabelle: 
http://www.sergiorinaudo.com/come-risolvere-il-problema-dei-caratteri-accentati-e-caratteri-esteri-su-db-mysql-e-php-usanto-il-charset-utf8/

___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

[Python] Esclusione della query vuota

[Juri Rudi]

Salve a tutti,

spero che qualcuno possa aiutarmi.

Ho una tabella mysql con tre campi: nome, cognome e paese.
Il mio desiderio sarebbe quello di effettuare una ricerca  in quella 
tabella attraverso una maschera con tre caselle, una per ogni campo, in 
cui inserire il valore da cercare, ed un unico tasto "cerca" con il 
comando di ricerca.
Vorrei, insomma, che il database mysql mi restituisse i record conformi 
alle caselle riempite dall'utente (ad es., "Paolo" di "Modena"), senza 
però darmi tutti i Paolo che non sono di Modena né tutti quelli di 
Modena che non si chiamano Paolo, ma soprattutto che non consideri le 
caselle vuote (ad es., il cognome di Paolo non sarebbe un campo vuoto 
nella tabella ma semplicemente un campo irrilevante ai fini della 
ricerca, perché altrimenti se Paolo ha invece un cognome quel record 
verrebbe escluso dalla ricerca solo perché la casella è "None").
Il problema è che non riesco a cd escludere dalla ricerca le caselle 
lasciate eventualmente vuote.


Mi sono sicuramente spiegato male, scusate.

Il codice che avevo abbozzato è il seguente:
<<
# nome:
nome_etichetta=Label(cerca_window, text="nome:").grid(row=100, 
column=10)

# chiede di inserire il valore da cercare nel db
nome= StringVar(cerca_window)
nome_casella=Entry(cerca_window, textvariable=nome).grid(row=100, 
column=20)

nome.get()
# cognome:
cognome_etichetta=Label(cerca_window, 
text="cognome:").grid(row=110, column=10)

# chiede di inserire il valore da cercare nel db
nome= StringVar(cerca_window)
nome_casella=Entry(cerca_window, 
textvariable=cognome).grid(row=110, column=20)

cognome.get()
# paese:
paese_etichetta=Label(cerca_window, text="paese:").grid(row=120, 
column=10)

# chiede di inserire il valore da cercare nel db
paese= StringVar(cerca_window)
paese_casella=Entry(cerca_window, textvariable=paese).grid(row=120, 
column=20)

paese.get()

def cerca_def():
cliens = "select cognome, nome, paese from rubrica where 
(cognome = '%s' OR nome = '%s' OR paese = '%s')" % (cognome.get(), 
nome.get(), paese.get())

cursore.execute(cliens)
risultato = cursore.fetchall()
print (risultato)

if risultato != "":
risultato1=str(risultato)
risultato2=risultato1.strip("[()',)]")
risultato_ricerca_window = Tk()
risultato_ricerca_window.title("Risultato della ricerca")
risultato_button = Button(risultato_ricerca_window, 
text=risultato2).pack(side=TOP)



OK2 = Button(cerca_window, text="Cerca", command = 
cerca_def).grid(row=120, column=10)




Riuscite a darmi una mano?
Grazie mille per l'attenzione (e il tempo) che vorrete dedicare a questa 
mia email.


Juri
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] compilatore per Python 3.4.1

[Juri Rudi]

Il 15/08/14 20:30, Francesco Pischedda ha scritto:
>
>
> Il giorno 15 agosto 2014 19:52, Juri Rudi  <mailto:rudij...@gmail.com>> ha scritto:
>
> E' sicuramente una domanda ricorrente (nel qual caso chiedo scusa), ma
> ha guglato e non ho trovato niente.
> Potreste per favore consigliarmi un compilatore per mac per Python
> 3.4?
> Ho provato py2app (è compatibile?) ma l'app generata mi
> restituisce errore.
> Grazie in anticipo.
>
>
> con python 3.3 ho usato cxFreeze
> http://cx-freeze.readthedocs.org/en/latest/, potresti provare con
> quello, ed è anche multi piattaforma

Provo subito, grazie mille.
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

[Python] compilatore per Python 3.4.1

[Juri Rudi]

E' sicuramente una domanda ricorrente (nel qual caso chiedo scusa), ma
ha guglato e non ho trovato niente.
Potreste per favore consigliarmi un compilatore per mac per Python 3.4?
Ho provato py2app (è compatibile?) ma l'app generata mi restituisce errore.
Grazie in anticipo.
Juri
___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

Re: [Python] redirect con https

[Juri Rudi]

  
  
Il 15/08/14 11:35, Simone Federici ha
  scritto:


  

  Juri Rudi <rudij...@gmail.com>:

  Voglio
dire: se installo su miosito.it
il certificato ssl di governo.it,
chi apre https:www.governo.it
va su miosito.it

  
  
  
  Il certificato è una cosa, il redirect è un altra. Qui
non c'è nessun redirect. Semplicemente il server dove sta python.it
è anche quello di europython/pycon. Il tutto fa pensare che
SSL è servito per europython, quindi adesso si verifica una
anomalia. Ci sarebbe da aggiungere un VirtualNamedHost per
differenziare europython.eu da python.it

  


OK, se non sbaglio però il browser mi aveva proprio segnalato un
redirect (verso https://ep2013.europython.eu/), ma devo aver letto
male.


  

  
  
  PS, il certificato è valido, è solo per una altro nome di
dominio.

  


Ok, a me però il browser lo segnala invalido proprio per il problema
dell'url: http://goo.gl/vNCTTX


  

  
  
  grazie della segnalazione
  Simone
  

  


Grazie a te.

Juri
  

___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python

[Python] redirect con https

[Juri Rudi]

Scusate l'OT,

ma è normale questa cosa?

1) http://www.python.it/

2) https://www.python.it/

Ho scritto al webmaster di python.it (quello senza SSL), ma non mi ha
(ancora) risposto.
A me non sembra (normale né) bello che qualcuno faccia redirect da
qualsiasi sito semplicemente installando nel proprio un certificato SSL
(ancorché invaldo per mancata corrispondenza dell'url).

Voglio dire: se installo su miosito.it il certificato ssl di governo.it,
chi apre https:www.governo.it va su miosito.it

A me continua a non sembrare bello.

Scusate l'ot.

Juri


___
Python mailing list
Python@lists.python.it
http://lists.python.it/mailman/listinfo/python