Python中如何防止sql注入

　　sql注入中最多見的就是字符串拼接，研發人員對字符串拼接應該引發重視，不該忽略。

　　錯誤用法1：

　　　　sql = "select id, name from test where id=%d and name='%s'" %(id, name)

　　　　cursor.execute(sql)

　　錯誤用法2：

　　　　sql = "select id, name from test where id="+ str(id) +" and name='"+ name +"'"

　　　　cursor.execute(sql)

　　正確用法1：

　　　　args = (id, name)

　　　　sql = "select id, name from test where id=%s and name=%s"

　　　　cursor.execute(sql, args)

　　　　execute()函數自己有接受sql語句參數位的，能夠經過python自身的函數處理sql注入問題。

　　正確用法2：

　　　　name = MySQLdb.escape_string(name)

　　　　sql = "select id, name from test where id=%d and name='%s'" %(id, name)

　　　　cursor.execute(sql)

　　　　python模塊MySQLdb自帶針對mysql的字符轉義函數escape_string，能夠對字符串轉義。

 

　　更多內容，請掃碼關注微信公衆號「程序媛蒲葦」