laenNoCode
commented
1 year ago Le commit corrigeant ce problème n'est pas dans le repo actuellement. Merci de le pousser avant de fermer l'issue, ou de tagger cette issue en wontfix. C'est important pour le suivi de ce genre de problèmes
Bonjour. Je me baladais dans le code suite au mail d'hier et j'ai vu que string.format était utilisé pour écrire toutes requètes. Le problème, c'est que si à un moment quelconque j'ai accès à un de ces champs, je peux facilement faire une injection SQL et bénéficier des accès du programme à la base de données. Il n'y a aucune sanitisation. Le fix n'est pas vraiment complexe https://stackoverflow.com/questions/45128902/psycopg2-and-sql-injection-security