Bagaimana untuk mengendalikan mysql dalam python untuk mengelakkan program anda sendiri daripada disuntik secara berniat jahat kemudian (secara terang-terangan, saya bertanya tentang beberapa perkara utama anti-suntikan dalam python)

Question

Adakah perlu merujuk kepada dokumen anti-suntikan sebelumnya dalam bahasa seperti php atau java? Dokumentasi anti-suntikan berkaitan Python sangat sukar dicari

黄舟 · Answer

1.Lulus

cursor.execute("select * from table where name=%s", "name")

Anti suntikan.

2.Jika lulus

sql = "select * from table where name=%s" % MySQLdb.escape_string(name)

Format ini memerlukan MySQLdb.escape_string(name) untuk mengelakkan suntikan.

Adalah disyorkan untuk menggunakan yang pertama.

欧阳克 · Answer

sql = "INSERT INTO `users` (`email`, `password`) VALUES (%s, %s)"
cursor.execute(sql, ('webmaster@python.org', 'very-secret'))

Satu perkara yang saya tahu adalah untuk tidak menggunakan sql.format("x1", "x2"), tetapi untuk menghantar parameter kepada cursor.execute untuk pemprosesan

Bagaimana untuk mengendalikan mysql dalam python untuk mengelakkan program anda sendiri daripada disuntik secara berniat jahat kemudian (secara terang-terangan, saya bertanya tentang beberapa perkara utama anti-suntikan dalam python)

membalas semua(2)saya akan balas