如何安全地在 MySQL IN 子句中使用列表来防止 SQL 注入？

MySQL IN 子句的安全内爆列表

数据库安全至关重要，避免 SQL 注入至关重要。在 MySQL IN 子句中使用值列表时，必须安全地这样做。

问题：

将列表扩展为字符串以在字符串中使用IN 子句容易受到 SQL 的影响

# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)

解决方案：

为了防止 SQL 注入，直接使用值列表作为参数：

# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

这个方法将值列表作为参数传递，而不是将它们嵌入到查询字符串中，有效防止注入

通过直接将数据作为参数传递给 MySQL 驱动程序，您无需手动引用和转义，从而确保数据库操作的完整性。

以上是如何安全地在 MySQL IN 子句中使用列表来防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！