Python中如何防止sql注入
发布时间:2019-09-02 08:06:26编辑:auto阅读(2340)
sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。
错误用法1:
sql = "select id, name from test where id=%d and name='%s'" %(id, name)
cursor.execute(sql)
错误用法2:
sql = "select id, name from test where id="+ str(id) +" and name='"+ name +"'"
cursor.execute(sql)
正确用法1:
args = (id, name)
sql = "select id, name from test where id=%s and name=%s"
cursor.execute(sql, args)
execute()函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。
正确用法2:
name = MySQLdb.escape_string(name)
sql = "select id, name from test where id=%d and name='%s'" %(id, name)
cursor.execute(sql)
python模块MySQLdb自带针对mysql的字符转义函数escape_string,可以对字符串转义。
更多内容,请扫码关注微信公众号“程序媛蒲苇”
上一篇: Python开发者必备6个基本库
下一篇: Python入门(一,Ubuntu环境搭
- openvpn linux客户端使用
51752
- H3C基本命令大全
51437
- openvpn windows客户端使用
41845
- H3C IRF原理及 配置
38615
- Python exit()函数
33111
- openvpn mac客户端使用
30103
- python全系列官方中文文档
28773
- python 获取网卡实时流量
23771
- 1.常用turtle功能函数
23683
- python 获取Linux和Windows硬件信息
22053
- Ubuntu本地部署dots.ocr
90°
- Python搭建一个RAG系统(分片/检索/召回/重排序/生成)
2281°
- Browser-use:智能浏览器自动化(Web-Agent)
2976°
- 使用 LangChain 实现本地 Agent
2483°
- 使用 LangChain 构建本地 RAG 应用
2420°
- 使用LLaMA-Factory微调大模型的function calling能力
3034°
- 复现一个简单Agent系统
2431°
- LLaMA Factory-Lora微调实现声控语音多轮问答对话-1
3239°
- LLaMA Factory微调后的模型合并导出和部署-4
5341°
- LLaMA Factory微调模型的各种参数怎么设置-3
5158°
- 姓名:Run
- 职业:谜
- 邮箱:383697894@qq.com
- 定位:上海 · 松江
