如何在Python中安全地執行MySQL查詢以防止SQL注入？

Python 中的安全 MySQL 連線和查詢執行

在 Web 應用程式領域，確保安全的資料處理至關重要。使用 MySQL 時，一個常見的問題是防止 SQL 注入攻擊。為了解決這個問題，必須採用最佳實踐來保護您的資料庫免受惡意操縱。

其中一種方法是利用帶有參數標記（“%s”）的準備好的語句。透過使用此方法，您可以將變數插入查詢中，同時保持安全性。操作方法如下：

1. 準備查詢：使用「execute」方法建立一個準備好的語句，並用參數標記取代變數。例如：

cursor = db.cursor()
max_price = 5
statement = "SELECT spam, eggs, sausage FROM breakfast WHERE price < %s"

2. 綁定變數：而不是直接插入變量，使用列表或元組將變數傳遞給「execute」方法的第二個這將變數綁定到準備好的語句，確保它們被正確轉義並且

cursor.execute(statement, (max_price,))

避免直接替換：

避免使用字串格式直接將變數替換到查詢中非常重要，因為這可能導致SQL 注入漏洞。相反，嚴格使用參數標記並將變數綁定到準備好的語句。

例如，不要使用字串替換，例如：

cursor.execute("SELECT spam, eggs, sausage FROM breakfast WHERE price < %s" % (max_price,))

其他注意事項：

• 如果參數是字串，請勿在參數持有者('%s') 周圍使用單引號。驅動程式將提供適當的轉義。
• 在整個程式碼庫中一致使用參數化查詢，以確保整個應用程式的安全性。

以上是如何在Python中安全地執行MySQL查詢以防止SQL注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！