Python SQL execute加参数的原理

在Python中,当用pymysql库,或者MySQLdb库进行数据库查询时,为了防止sql注入,可以在execute的时候,把参数单独带进去,例如:

def execute_v1():
    config = {
        'user': 'root',
        'password': 'password1',
        'host': '127.0.0.1',
        'database': 'selfmoe',
        'port': 3307,
        'charset': 'utf8'
    }

    import pymysql  # 打开数据库连接
    cnx = pymysql.connect(**config)
    cur = cnx.cursor()
    cur.execute('select title,id from post where title =%(title)s', dict(title="**'*"))
    ret = cur.fetchall()
    print ret
    cur.close()
    cnx.close()
    return ret


execute_v1()

cur.execute('select title,id from post where title =%(title)s', dict(title="**'*"))这行中,title这个参数是以args的形式传进去的
查看pymysql的源码发现,当有args参数时,pymysql会做以下逻辑:

  • 如果是入参是unicode,encode为utf8
  • 如果是字符串,在两边加单引号
  • 使用escape_string(from pymysql import escape_string)函数对字符串进行转义
  • 然后通过%来拼合字符串,得到最终的sql

所以

  • 使用args参数,其实和自己手动转义的效果是一样的,最终传给mysql的也是只有一个sql字符串。不过使用args可以把转义部分交给pymysql,这样安全性,稳定性更好,避免自己漏了转义,避免自己处理转义的异常情况。
posted @ 2021-04-12 12:06  Xjng  阅读(4442)  评论(0编辑  收藏  举报