11_什么是sql注入?
什么是sql注入?
--因为后台会把用户输入的插入到后台的sql语句中,来进行sql查询判断用户输入是否存在数据库中,
来验证用户是否合法,就会出现一个问题,用户在做用户验证的时候,在输入框注入sql语句实现免密码登录,
主要通过 “--“ 来注释后面的sql语句
如何解决这个问题?
-- pymysql模块中内置了处理方法,把引号看成字符,而不看做sql语句的一部分
-- cursor.exectue(‘sellect * form user where password=%s and username=%s’,(pwd,name))
-- 字符串的拼接虽然也可以实现查询,但是带来了安全隐患,所有通过后面加括号的形式,
pymysql帮我们阻止了此类问题