Довольно простая, но хорошая защита против sql инъекций:
sql_part=re.escape(sql_part)
В мане сказано:
re.escape(string) Return string with all non-alphanumerics backslashed;
что подходит для нас.
P.S. Если данные передаются в UTF-8, то нужно использовать нечто другое, иначе эта функция экранирует utf-8 символы которые выходят за диапазон ascii.
Свежие комментарии