有哪些策略可以防止SQL注入？

更新时间:2023年01月14日12时01分来源:传智教育浏览次数:

用户提交带有恶意的数据与SQL语句进行字符串方式的拼接，从而影响了SQL语句的语义，最终产生数据泄露的现象。

防止SQL注入可以将SQL语句参数化

•SQL语言中的参数使用%s来占位，此处不是python中的字符串格式化操作

•将SQL语句中%s占位所需要的参数存在一个列表中，把参数列表传递给execute方法中第二个参数

防止SQL注入的示例代码:

from pymysql import connectdef main():

    find_name = input("请输入物品名称：")    # 创建Connection连接
    conn = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')    # 获得Cursor对象
    cs1 = conn.cursor()    # 非安全的方式
    # 输入 ' or 1 = 1 or '   (单引号也要输入)
    # sql = "select * from goods where name='%s'" % find_name
    # print("""sql===>%s<====""" % sql)
    # # 执行select语句，并返回受影响的行数：查询所有数据
    # count = cs1.execute(sql)

    # 安全的方式
    # 构造参数列表
    params = [find_name]    # 执行select语句，并返回受影响的行数：查询所有数据
    count = cs1.execute("select * from goods where name=%s", params)    # 注意：
    # 如果要是有多个参数，需要进行参数化
    # 那么params = [数值1, 数值2....]，此时sql语句中有多个%s即可
    # %s 不需要带引号

    # 打印受影响的行数
    print(count)    # 获取查询的结果
    # result = cs1.fetchone()
    result = cs1.fetchall()    # 打印查询的结果
    print(result)    # 关闭Cursor对象
    cs1.close()    # 关闭Connection对象
    conn.close()if __name__ == '__main__':
    main()

注意：execute方法中的 %s 占位不需要带引号。

上一篇：身份验证系统：perms变量检测之权限验证 下一篇：使用Python如何操作Mongodb数据库?