Защита от SQL-injection.

> cur.execute
Оно разве автоматом не экранирует?

Если это pg, то там необходимо не подставлять параметры с помощью %, а передавать в tuple вторым аргументом. И тогда да, будет экранирование.

> Оно разве автоматом не экранирует?

Вроде-бы, ни MySQL Python API, ни сам Python такое не делают.

Откуда у вас такие сведения? Что такое MySQL Python API? API бывают разные. Имеется в виду MySQLdb или что-то еще?

В любом случае, в соответствии с PEP249, параметры (т.е. данные) передаются вторым аргументом, отдельно от самого запроса. Форматирование строк не используется.

Читайте документацию, пожалуйста. Стыдно должно быть запускать такой код.

делают, хотя в PEP 249 об этом ни слова

> в PEP 249 об этом ни слова

Плохо читали. Посмотрите там сноску 5 и то, к чему она относится.

> В любом случае, в соответствии с PEP249, параметры (т.е. данные)

передаются вторым аргументом, отдельно от самого запроса.

Спасибо. Ни разу такого кода не встречал.
PEPs не читаю, обычно смотрю примеры на русском (Google/Yandex).

>Спасибо. Ни разу такого кода не встречал.

Какой ужас. Вроде даже в самых простых учебниках есть про особенности передачи параметров в db-api.

PEPs не читаю, обычно смотрю примеры на русском (Google/Yandex).

вот это и есть быдлокодерство.

Лучшая защита от SQL-injection - это воспользоваться средствами драйвера БД.

Вот такой псевдокод должен быть:

string sSQL = "SELECT E.id FROM emp E WHERE ? = E.name AND ? = E.job";

//...

Query q = conn.getQuery(sSQL);

q.addParam(1, "John Smith");
q.addParam(2, "SALESMAN");
ResulSet rs = q.execute();

while(rs.next())
  print(rs.getNumber());

как-то так.

да, моя ошибка. помнил же что где-то там это есть, но перечитал и вроде не нашел как.

> вот это и есть быдлокодерство.

Есть еще книги на русском, например - Р.Сузи, «Python» и Д.Бизли «Python. Справочник».