简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
python 操作mysql如何經量防止自己的程式在之後被惡意注入(說白了就是問一下python防注入的一些要點)
滿天的星座
滿天的星座 2017-06-14 10:50:54
0
2
736

有沒有必要參考以往的php或java之類的語言的防注入文件呢? python相關的防注入文檔實在不好找

滿天的星座
滿天的星座

全部回覆(2)
黄舟
黄舟2017-06-14 10:52:54 2樓

1.透過

cursor.execute("select * from table where name=%s", "name")

可以防注入。

2.如果透過

sql = "select * from table where name=%s" % MySQLdb.escape_string(name)

這種格式,需要MySQLdb.escape_string(name),可以防注入.

推薦使用第一種。

點贊 +0
新增回覆
学霸
学霸2017-06-14 10:52:54 1樓 
sql = "INSERT INTO `users` (`email`, `password`) VALUES (%s, %s)"
cursor.execute(sql, ('webmaster@python.org', 'very-secret'))

我知道的一點是不要使用 sql.format("x1", "x2"), 要把參數傳給cursor.execute去處理

點贊 +0
新增回覆
熱門專題
更多>
熱門文章
熱門教學
更多>
相關教學
熱門推薦
最新課程
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!