Python 防止mysql 注入的两种方式

 

Python防止sql注入一般有两种方法

 

1.escape_string
 
MySQLdb.escape_string(param)

注意:如果报错出现

'ascii' codec can't encode characters in position 0-2: ordinal not in range(128)

 # 因为用户输入的字符串的字符集是ascll,但是ascll不支持中文, 所以我们可以把python的默认字符集改成utf-8就可以了

     

2. excute参数化传递
 
cur.excute(sql, (str1,str2))
import MySQLdb
conn = MySQLdb.connect(host='localhost', user='root', passwd='', db='test')
param = 'aaa'

## 第一种
escape_param = MySQLdb.escape_string(param)
cur = conn.cursor()
cur.execute("select * form table where col="+escape_param+"")
cur.commit()
cur.close()

##第二种
cur = conn.cursor()

  # 这是有效的,正确方式
  cur.execute('select * from table where col=%s',(param,))

  # 这是无效的,只是普通的占位符替换
  cur.execute('select * from table where col=%s'% (param,))

cur.commit()
cur.close()

 

相关文章:

  • 2021-05-25
  • 2021-12-26
  • 2021-08-07
  • 2021-06-21
  • 2021-12-11
  • 2021-06-01
猜你喜欢
  • 2021-11-22
  • 2022-12-23
  • 2021-12-26
  • 2022-12-23
  • 2021-08-20
  • 2022-12-23
  • 2021-11-22
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode