Pyhton中防止SQL注入的方法

更新時間：2015年02月05日 11:35:26 投稿：junjie

這篇文章主要介紹了Pyhton中防止SQL注入的方法,本文講解的方法簡單實用,需要的朋友可以參考下

c=db.cursor()

max_price=5

c.execute("""SELECT spam, eggs, sausage FROM breakfast

          WHERE price < %s""", (max_price,))

注意，上面的SQL字符串與后面的tuple之間的分隔符是逗號，平時拼寫SQL用的是%。

如果按照以下寫法，是容易產(chǎn)生SQL注入的：

復(fù)制代碼代碼如下:

c.execute("""SELECT spam, eggs, sausage FROM breakfast

          WHERE price < %s""" % (max_price,))

這個和PHP里的PDO是類似的，原理同MySQL Prepared Statements。

Python

Using the Python DB API, don't do this:

# Do NOT do it this way.

復(fù)制代碼代碼如下:

cmd = "update people set name='%s' where id='%s'" % (name, id) curs.execute(cmd)

Instead, do this:

復(fù)制代碼代碼如下:

cmd = "update people set name=%s where id=%s" curs.execute(cmd, (name, id))

Note that the placeholder syntax depends on the database you are using.

復(fù)制代碼代碼如下:

'qmark' Question mark style, e.g. '...WHERE name=?' 'numeric' Numeric, positional style, e.g. '...WHERE name=:1' 'named' Named style, e.g. '...WHERE name=:name' 'format' ANSI C printf format codes, e.g. '...WHERE name=%s' 'pyformat' Python extended format codes, e.g. '...WHERE name=%(name)s'

The values for the most common databases are:

復(fù)制代碼代碼如下:

>>> import MySQLdb; print MySQLdb.paramstyle format >>> import psycopg2; print psycopg2.paramstyle pyformat >>> import sqlite3; print sqlite3.paramstyle qmark

So if you are using MySQL or PostgreSQL, use %s (even for numbers and other non-string values!) and if you are using SQLite use ?

您可能感興趣的文章:

相關(guān)文章

Pytorch轉(zhuǎn)tflite方式
這篇文章主要介紹了Pytorch轉(zhuǎn)tflite方式，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-05-05
Python BS4庫的安裝與使用詳解
這篇文章主要介紹了Python BS4庫的安裝與使用詳解，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-08-08
Python3 sort和sorted用法+cmp_to_key()函數(shù)詳解
這篇文章主要介紹了Python3 sort和sorted用法+cmp_to_key()函數(shù)詳解，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2023-07-07
基于Python制作簡易視頻播放器
本文將用python-pyqt5-opencv做出來的簡易視頻播放器,主要實現(xiàn)本地視頻文件播放、本地攝像頭播放和遠程攝像頭播放三個功能,需要的可以參考下
2024-11-11
Python類和對象基礎(chǔ)入門介紹
Python 是一種面向?qū)ο蟮木幊陶Z言。Python 中的幾乎所有東西都是對象，擁有屬性和方法。類（Class）類似對象構(gòu)造函數(shù)，或者是用于創(chuàng)建對象的藍圖
2022-08-08
在django中實現(xiàn)choices字段獲取對應(yīng)字段值
這篇文章主要介紹了在django中實現(xiàn)choices字段獲取對應(yīng)字段值，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-07-07
python PIL模塊與隨機生成中文驗證碼
今天我們要學(xué)習(xí)的內(nèi)容是如何利用Python生成一個隨機的中文驗證碼，并將圖片保存為.jpeg格式,需要的朋友可以參考下
2016-02-02
Python?SQLAlchemy庫的實現(xiàn)示例
SQLAlchemy庫是一個強大的工具,為開發(fā)人員提供了便捷的方式來處理與數(shù)據(jù)庫的交互,本文主要介紹了Python?SQLAlchemy庫的實現(xiàn)示例,具有一定的參考價值,感興趣的可以了解一下
2024-06-06
利用（面向）對象的（屬性和方法）去進行編碼的過程即面向?qū)ο缶幊?。本文將通過示例詳細為大家介紹一下Python中的面向?qū)ο缶幊?，需要的可以參考一?/div> 2022-03-03