腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

軟件下載

android MAC 驅(qū)動(dòng)下載字體下載 DLL

源碼下載

PHP ASP.NET ASP JSP

軟件編程

C# JAVA C 語言 Delphi Android

網(wǎng)絡(luò)編程

PHP ASP.NET ASP JavaScript

在線工具

CSS格式化 JS格式化 Html轉(zhuǎn)化為Js

數(shù)據(jù)庫

MYSQL MSSQL oracle DB2 MARIADB

CMS

PHPCMS DEDECMS 帝國CMS WordPress

常用工具

PHP開發(fā)工具 python Photoshop 必備軟件

Pyhton中防止SQL注入的方法

更新時(shí)間：2015年02月05日 11:35:26 投稿：junjie

這篇文章主要介紹了Pyhton中防止SQL注入的方法,本文講解的方法簡單實(shí)用,需要的朋友可以參考下

復(fù)制代碼代碼如下:

c=db.cursor()

max_price=5

c.execute("""SELECT spam, eggs, sausage FROM breakfast

          WHERE price < %s""", (max_price,))

注意，上面的SQL字符串與后面的tuple之間的分隔符是逗號，平時(shí)拼寫SQL用的是%。

如果按照以下寫法，是容易產(chǎn)生SQL注入的：

復(fù)制代碼代碼如下:

c.execute("""SELECT spam, eggs, sausage FROM breakfast

          WHERE price < %s""" % (max_price,))

這個(gè)和PHP里的PDO是類似的，原理同MySQL Prepared Statements。

Python

Using the Python DB API, don't do this:

# Do NOT do it this way.

復(fù)制代碼代碼如下:

cmd = "update people set name='%s' where id='%s'" % (name, id) curs.execute(cmd)

Instead, do this:

復(fù)制代碼代碼如下:

cmd = "update people set name=%s where id=%s" curs.execute(cmd, (name, id))

Note that the placeholder syntax depends on the database you are using.

復(fù)制代碼代碼如下:

'qmark' Question mark style, e.g. '...WHERE name=?' 'numeric' Numeric, positional style, e.g. '...WHERE name=:1' 'named' Named style, e.g. '...WHERE name=:name' 'format' ANSI C printf format codes, e.g. '...WHERE name=%s' 'pyformat' Python extended format codes, e.g. '...WHERE name=%(name)s'

The values for the most common databases are:

復(fù)制代碼代碼如下:

>>> import MySQLdb; print MySQLdb.paramstyle format >>> import psycopg2; print psycopg2.paramstyle pyformat >>> import sqlite3; print sqlite3.paramstyle qmark

So if you are using MySQL or PostgreSQL, use %s (even for numbers and other non-string values!) and if you are using SQLite use ?

您可能感興趣的文章:

相關(guān)文章

python3.5 + PyQt5 +Eric6 實(shí)現(xiàn)的一個(gè)計(jì)算器代碼
這篇文章主要介紹了python3.5 + PyQt5 +Eric6 實(shí)現(xiàn)的一個(gè)計(jì)算器代碼，在windows7 32位系統(tǒng)可以完美運(yùn)行計(jì)算器，有興趣的可以了解一下。
2017-03-03
python用pip install時(shí)安裝失敗的一系列問題及解決方法
這篇文章主要介紹了python用pip install時(shí)安裝失敗的一系列問題,本文給大家介紹的非常詳細(xì)，具有一定的參考借鑒價(jià)值，需要的朋友可以參考下
2020-02-02
python圖形工具turtle繪制國際象棋棋盤
這篇文章主要為大家詳細(xì)介紹了python圖形工具turtle繪制國際象棋棋盤，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下
2019-05-05
python中hasattr()、getattr()、setattr()函數(shù)的使用
這篇文章主要介紹了python中hasattr()、getattr()、setattr()函數(shù)的使用方法，本文給大家介紹的非常詳細(xì)，具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
2019-08-08
Python 循環(huán)語句之 while，for語句詳解
Python中有兩種循環(huán)，分別為：for循環(huán)和while循環(huán)。 for循環(huán)可以遍歷任何序列的項(xiàng)目，如一個(gè)列表或者一個(gè)字符串。while 語句用于循環(huán)執(zhí)行程序，即在某條件下，循環(huán)執(zhí)行某段程序，以處理需要重復(fù)處理的相同任務(wù)。
2018-04-04
在Django的URLconf中使用多個(gè)視圖前綴的方法
這篇文章主要介紹了在Django的URLconf中使用多個(gè)視圖前綴的方法,Django是Python中最為著名的遵循MVC結(jié)構(gòu)的開發(fā)框架,需要的朋友可以參考下
2015-07-07
python 爬取免費(fèi)簡歷模板網(wǎng)站的示例
這篇文章主要介紹了python 爬取免費(fèi)簡歷模板網(wǎng)站的示例，幫助大家更好的理解和使用python 爬蟲，感興趣的朋友可以了解下
2020-09-09
Random 在 Python 中的使用方法
random() 方法返回隨機(jī)生成的一個(gè)實(shí)數(shù)，它在[0,1)范圍內(nèi)。這篇文章主要介紹了Random 在 Python 中的使用方法,需要的朋友可以參考下
2018-08-08
python程序超時(shí)處理方式
這篇文章主要介紹了python程序超時(shí)處理方式,具有很好的參考價(jià)值,希望對大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2023-08-08
詳解Python多線程Selenium跨瀏覽器測試
本篇文章主要介紹了Python多線程Selenium跨瀏覽器測試，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下。
2017-04-04