Comment faire fonctionner MySQL en Python pour empêcher votre propre programme d'être injecté de manière malveillante plus tard (pour parler franchement, je pose des questions sur certains points clés de l'anti-injection en Python)

Question

Est-il nécessaire de se référer à des documents anti-injection antérieurs dans des langages​​comme php ou java ? C'est vraiment difficile de trouver de la documentation anti-injection liée à python

Answer 1

1.Passez

cursor.execute("select * from table where name=%s", "name")

Anti-injection.

2.Si réussi

sql = "select * from table where name=%s" % MySQLdb.escape_string(name)

Ce format nécessite MySQLdb.escape_string(name) pour empêcher l'injection.

Il est recommandé d'utiliser le premier.

Answer 2

sql = "INSERT INTO `users` (`email`, `password`) VALUES (%s, %s)"
cursor.execute(sql, ('webmaster@python.org', 'very-secret'))

Une chose que je sais, c'est de ne pas utiliser sql.format("x1", "x2"), mais de transmettre les paramètres à curseur.execute pour le traitement