Bagaimanakah Saya Boleh Menyambung dengan Selamat dan Menyoal Pangkalan Data MySQL dalam Python?

Amalan Terbaik dan Cara Paling Selamat untuk Menyambung ke MySQL dan Melaksanakan Pertanyaan dalam Python

Mengelakkan SQL Injection: Laksanakan Pernyataan dengan Pertanyaan Berparameter

Walaupun menyambung ke pangkalan data MySQL dalam Python adalah penting, ia adalah penting sama pentingnya untuk melindungi sistem anda daripada serangan suntikan SQL. Untuk mengurangkan risiko ini, kaedah paling selamat adalah dengan menggunakan pertanyaan berparameter. Ini melibatkan penggantian pembolehubah yang dibekalkan pengguna dalam pernyataan SQL dengan pemegang tempat (cth., '%s').

Contoh dan Perkara yang boleh dan tidak boleh dilakukan

c = db.cursor()
max_price = 5
c.execute("SELECT spam, eggs, sausage FROM breakfast WHERE price < %s", (max_price,))

Jangan buat ini:

c.execute("SELECT spam, eggs, sausage FROM breakfast WHERE price < %s" % (max_price,))

Perkara Penting yang Perlu Diingat

• Gunakan koma semasa mentakrifkan ruang letak, bukan tanda peratus.
• Jangan sertakan pemegang tempat dalam petikan tunggal.
• Lepasi nilai sebagai tuple atau senarai sebagai parameter kedua.
• Jika parameter ialah rentetan, biarkan pemandu menguruskan pelarian.

Dengan mematuhi amalan terbaik ini, anda boleh memastikan sambungan dan pertanyaan yang selamat dan berkesan ke pangkalan data MySQL anda.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menyambung dengan Selamat dan Menyoal Pangkalan Data MySQL dalam Python?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!