Hi;<br>A lister recently responded to my post concerning mysl commands of the following type:<br><br>cursor.execute('insert into foo values (%s, %s)' % (bar, something))<br><br>stating that I need to eliminate the "%" to prevent injection attacks, thus:<br>
<br>cursor.execute('insert into foo values (%s, %s)', (bar, something))<br>
<br>My question is simply this: Is that advice good for *all* mysql commands? Or are there some where the "%" is necessary and a comma would fail? I need to update lots of mysql commands. If I can do it without harmful consequences, I'll do it across the board. Otherwise, I'll have to test each one. <br>
TIA,<br>beno<br>