So betreiben Sie MySQL in Python, um zu verhindern, dass Ihr eigenes Programm später böswillig injiziert wird (um es ganz klar auszudrücken: Ich frage nach einigen wichtigen Punkten der Anti-Injection in Python)

Question

Ist es notwendig, auf frühere Anti-Injection-Dokumente in Sprachen wie PHP oder Java zu verweisen? Python-bezogene Anti-Injection-Dokumentation ist wirklich schwer zu finden

黄舟 · Answer

1.通过

cursor.execute("select * from table where name=%s", "name")

可以防注入。

2.如果通过

sql = "select * from table where name=%s" % MySQLdb.escape_string(name)

这种格式，需要MySQLdb.escape_string(name)，可以防注入.

推荐使用第一种。

欧阳克 · Answer

sql = "INSERT INTO `users` (`email`, `password`) VALUES (%s, %s)"
cursor.execute(sql, ('webmaster@python.org', 'very-secret'))

我知道的一点是不要使用 sql.format("x1", "x2"), 要把参数传给cursor.execute去处理

So betreiben Sie MySQL in Python, um zu verhindern, dass Ihr eigenes Programm später böswillig injiziert wird (um es ganz klar auszudrücken: Ich frage nach einigen wichtigen Punkten der Anti-Injection in Python)

Antworte allen(2)Ich werde antworten