您好,欢迎来到三六零分类信息网!老站,搜索引擎当天收录,欢迎发信息
登录注册QQ一键登录
免费发信息
三六零分类信息网 > 宝鸡分类信息网,免费分类信息发布

Python中如何防止sql注入

2022/8/13 11:12:21发布79次查看
sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。
错误用法1:
sql = select id, name from test where id=%d and name='%s' %(id, name)
cursor.execute(sql)
错误用法2:
sql = select id, name from test where id=+ str(id) + and name='+ name +'
cursor.execute(sql)
正确用法1:
args = (id, name)
sql = select id, name from test where id=%s and name=%s
cursor.execute(sql, args)
execute()函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。
正确用法2:
name = mysqldb.escape_string(name)
sql = select id, name from test where id=%d and name='%s' %(id, name)
cursor.execute(sql)
python模块mysqldb自带针对mysql的字符转义函数escape_string,可以对字符串转义。
宝鸡分类信息网,免费分类信息发布

VIP推荐

免费发布信息,免费发布B2B信息网站平台 - 三六零分类信息网 沪ICP备09012988号-2
企业名录