Python 防止mysql 注入的两种方式

时间：2019-03-14 18:24:18 阅读：236 评论：0 收藏：0 [点我收藏+]

标签：支持 nal size sele mys utf-8 pass codec 注入

Python防止sql注入一般有两种方法

1.escape_string

MySQLdb.escape_string(param)

注意：如果报错出现

‘ascii‘ codec can‘t encode characters in position 0-2: ordinal not in range(128)

 # 因为用户输入的字符串的字符集是ascll,但是ascll不支持中文, 所以我们可以把python的默认字符集改成utf-8就可以了

2. excute参数化传递

cur.excute(sql, (str1,str2))

import MySQLdb
conn = MySQLdb.connect(host=‘localhost‘, user=‘root‘, passwd=‘‘, db=‘test‘)
param = ‘aaa‘

## 第一种
escape_param = MySQLdb.escape_string(param)
cur = conn.cursor()
cur.execute("select * form table where col="+escape_param+"")
cur.commit()
cur.close()

##第二种

cur = conn.cursor()

# 这是有效的，正确方式
cur.execute(‘select * from table where col=%s‘,(param,))

# 这是无效的,只是普通的占位符替换
cur.execute(‘select * from table where col=%s‘% (param,))

cur.commit()
cur.close()

Python 防止mysql 注入的两种方式

标签：支持 nal size sele mys utf-8 pass codec 注入

原文地址：https://www.cnblogs.com/yanguhung/p/10531728.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行