Python中如何防止sql注入

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Python中如何防止sql注入相关的知识,希望对你有一定的参考价值。

  sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。

  错误用法1:

    sql = "select id, name from test where id=%d and name=‘%s‘" %(id, name)

    cursor.execute(sql)

  错误用法2:

    sql = "select id, name from test where id="+ str(id) +" and name=‘"+ name +"‘"

    cursor.execute(sql)

  正确用法1:

    args = (id, name)

    sql = "select id, name from test where id=%s and name=%s"

    cursor.execute(sql, args)

    execute()函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。

  正确用法2:

    name = MySQLdb.escape_string(name)

    sql = "select id, name from test where id=%d and name=‘%s‘" %(id, name)

    cursor.execute(sql)

    python模块MySQLdb自带针对mysql的字符转义函数escape_string,可以对字符串转义。

 

  更多内容,请扫码关注微信公众号“程序媛蒲苇”

    技术分享

 

以上是关于Python中如何防止sql注入的主要内容,如果未能解决你的问题,请参考以下文章

如何防止 PYTHON-DJANGO 中的 SQL 注入?

如何防止不和谐机器人python中的SQL注入攻击

在 python 中防止 SQL 注入

什么是sql注入如何防止sql注入

用python防止SQL注入[重复]

php中防止SQL注入,该如何解决?