sql注入
1 解决办法
1.1 中间件
1.2 占位符
1.3 用ORM时其会自动处理
2 详细
2-1 SQL注入问题 * 利用MySQL的注释语法,钻空子实现常规操作才能操作的功能 案例: 结合MySQL实现用户的登陆 import pymysql # 链接数据库 conn = pymysql.connect( host='127.0.0.1', port=3306, user='root', passwd='1', charset='utf8', database='db6' ) # 产生一个游标对象 cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) username = input('请输入用户名>>>:').strip() password = input('请输入密码>>>:').strip() sql = "select * from user where name='%s' and password='%s'" % (username, password) print(sql) res_sql = cursor.execute(sql) # 若输入正确 if res_sql: print('登陆成功') # 获取数据 print(cursor.fetchall()) else: print('登陆失败') 现象1: 无需用户名即可登陆 现象2: 无需密码可登陆 2-2 解决 import pymysql # 链接数据库 conn = pymysql.connect( host='127.0.0.1', port=3306, user='root', passwd='1', charset='utf8', database='db6' ) # 产生一个游标对象 cursor = conn.cursor(cursor=pymysql.cursors.DictCursor) username = input('请输入用户名>>>:').strip() password = input('请输入密码>>>:').strip() sql = "select * from user where name=%s and password=%s" """ 办法: 不手动拼接敏感数据,先用%s占位,之后将需要拼接的数据交给execute方法 """ print(sql) """ 将要拼接的数据用元组的形式组合起来,execute 会自动识别%s,过滤特殊符号,并用元组里的数据替换%s """ res_sql = cursor.execute(sql, (username,password)) # 若输入正确 if res_sql: print('登陆成功') # 获取数据 print(cursor.fetchall()) else: print('登陆失败')