【发布时间】:2017-11-03 08:05:06
【问题描述】:
我正在重做一个查询以防止 SQL 注入,但不知道如何转义列名。
此代码不起作用(示例 1):
cursor.execute(
"UPDATE ttt SET status = 'Good' FROM table ttt WHERE %s = %s';",
('param1', 'param2',))
sql_server_connection.commit()
这将起作用(示例 2):
cursor.execute(
"UPDATE ttt SET status = 'Good' FROM table ttt WHERE param1 = %s';",
('param2',))
我需要将 2 个参数传递给我的查询并以安全的方式执行(以防止 SQL 注入)。
我可以通过传递简单的字符串使其工作,但这不是安全的方法。
如何使用单个 cursor.execute 命令转义列名和值?
【问题讨论】:
标签: python parameters escaping sql-injection pymssql