pymysql防sql注入
1、什么事SQL注入
因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。
产生原因:SQL语句使用了动态拼接的方式。
import pymysql
conn = pymysql.connect(host="xxx", port=3306, user="xxx", passwd="xxx", db="xxx")
cursor = conn.cursor()
sql = 'delete from stu where name = "%s" and age = "%s"' % ('tom', 19)
cursor.execute(sql)
-- 假如 name = 'tom or 1=1'
-- 那么会被or短路为永远正确,会将所有 name=tom 的数据全部删除
delete from stu where name = 'tom' or 1=1 and age = 19
2、pymysql防注入
pymysql 的 execute 支持参数化 sql,通过占位符 %s 配合参数就可以实现 sql 注入问题的避免。
import pymysql
conn = pymysql.connect(host="xxx", port=3306, user="xxx", passwd="xxx", db="xxx")
cursor = conn.cursor()
sql = 'delete from stu where name = %s and age = %s'
cursor.execute(sql, ('tom', 19)) # 参数为元组格式
- execute的参数为元组格式
- 不要因为参数是其他类型而换掉 %s,pymysql 的占位符并不是 python 的通用占位符
- %s 两边不需要加引号,mysql 会自动去处理
博客内容仅供参考,部分参考他人优秀博文,仅供学习使用
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
2020-08-03 坑(五)—— django orm级联
2020-08-03 坑(四)—— ORM查询时数据库排序内存溢出