Comment faire fonctionner MySQL en Python pour empêcher votre propre programme d'être injecté de manière malveillante plus tard (pour parler franchement, je pose des questions sur certains points clés de l'anti-injection en Python)

Question

Est-il nécessaire de se référer à des documents anti-injection antérieurs dans des langages comme php ou java ? La documentation anti-injection liée à Python est vraiment difficile à trouver

黄舟 · Answer

1.Passez

cursor.execute("select * from table where name=%s", "name")

Anti-injection.

2.Si réussi

sql = "select * from table where name=%s" % MySQLdb.escape_string(name)

Ce format nécessite MySQLdb.escape_string(name) pour empêcher l'injection.

Il est recommandé d'utiliser le premier.

欧阳克 · Answer

sql = "INSERT INTO `users` (`email`, `password`) VALUES (%s, %s)"
cursor.execute(sql, ('webmaster@python.org', 'very-secret'))

Une chose que je sais, c'est de ne pas utiliser sql.format("x1", "x2"), mais de transmettre les paramètres à curseur.execute pour le traitement

Comment faire fonctionner MySQL en Python pour empêcher votre propre programme d'être injecté de manière malveillante plus tard (pour parler franchement, je pose des questions sur certains points clés de l'anti-injection en Python)

répondre à tous(2)je répondrai