发布时间:2019-09-02 08:06:26编辑:auto阅读(2087)
sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。
错误用法1:
sql = "select id, name from test where id=%d and name='%s'" %(id, name)
cursor.execute(sql)
错误用法2:
sql = "select id, name from test where id="+ str(id) +" and name='"+ name +"'"
cursor.execute(sql)
正确用法1:
args = (id, name)
sql = "select id, name from test where id=%s and name=%s"
cursor.execute(sql, args)
execute()函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。
正确用法2:
name = MySQLdb.escape_string(name)
sql = "select id, name from test where id=%d and name='%s'" %(id, name)
cursor.execute(sql)
python模块MySQLdb自带针对mysql的字符转义函数escape_string,可以对字符串转义。
更多内容,请扫码关注微信公众号“程序媛蒲苇”
上一篇: Python开发者必备6个基本库
下一篇: Python入门(一,Ubuntu环境搭
49384
48581
39274
36358
30769
27582
26574
21394
21256
19604
247°
485°
476°
563°
924°
637°
1316°
1528°
1240°
1224°