<div dir="ltr"><div dir="ltr">Everyone, asking a question here related to Raymond Nijssen's challenge...</div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Jun 17, 2026 at 12:06 PM Raymond Nijssen via QGIS-Developer <<a href="mailto:qgis-developer@lists.osgeo.org">qgis-developer@lists.osgeo.org</a>> wrote:<br></div><div><br></div><div>[snip] </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
I fixed it by using the `# nosec` comment behind all the lines with SQL <br>
strings. Feels a bit strange though to "fix" things that are not bad or <br>
broken at all.<br><br>
> <br>
> Le 17/06/2026 à 18:40, Raymond Nijssen via QGIS-Developer a écrit :<br>
>> Hi, I'm having this security issue with Bandit and cannot publish my <br>
>> plugin. But the executeSql() does not take separate parameters. What <br>
>> would be the proper solution here?</blockquote><div><br></div><div>Is there really no prepared statement approach that could be used in cases like this, instead of an "executeSql() that does not take separate parameters"?</div><div><br></div><div><br></div></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature"><div dir="ltr">Chris Hermansen · clhermansen "at" gmail "dot" com<br><br>C'est ma façon de parler.</div></div></div>