如何解决这段代码会阻止SQL注入Python
%s的概念是将数据与查询隔离。当您传递两个参数时,它们将在模块中组合。目的是减轻注入,但我会犹豫地说“ 100%”
编辑:比我更聪明的人(甚至是现实生活中的安全专家!)在这里也很重要:https://security.stackexchange.com/questions/15214/are-prepared- statements-100-safe-against-sql- injection
解决方法
请让我知道以下代码会100%阻止python中的SQL注入
样品1
username = request.GET('username') # non-filtered user input
connection.execute("SELECT id,name,email FROM user WHERE username=%s LIMIT 1",(username,))
样品2
username = request.POST('username') # non-filtered user input
name = request.POST('name') # non-filtered user input
email = request.POST('email') # non-filtered user input
connection.execute("UPDATE user SET name=%s,email= %s WHERE username=%s LIMIT 1",(name,email,username,))
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
