84669 人學習
152542 人學習
20005 人學習
5487 人學習
7821 人學習
359900 人學習
3350 人學習
180660 人學習
48569 人學習
18603 人學習
40936 人學習
1549 人學習
1183 人學習
32909 人學習
有沒有必要參考以往的php或java之類的語言的防注入文件呢? python相關的防注入文檔實在不好找
1.透過
cursor.execute("select * from table where name=%s", "name")
可以防注入。
2.如果透過
sql = "select * from table where name=%s" % MySQLdb.escape_string(name)
這種格式,需要MySQLdb.escape_string(name),可以防注入.
推薦使用第一種。
sql = "INSERT INTO `users` (`email`, `password`) VALUES (%s, %s)" cursor.execute(sql, ('webmaster@python.org', 'very-secret'))
我知道的一點是不要使用 sql.format("x1", "x2"), 要把參數傳給cursor.execute去處理
1.透過
可以防注入。
2.如果透過
這種格式,需要MySQLdb.escape_string(name),可以防注入.
推薦使用第一種。
我知道的一點是不要使用 sql.format("x1", "x2"), 要把參數傳給cursor.execute去處理