python解决sql注入以及特殊字符

最新推荐文章于 2024-07-01 09:42:40 发布
最新推荐文章于 2024-07-01 09:42:40 发布
阅读量8.3k 收藏
点赞数
分类专栏: python 文章标签: python sql注入 特殊字符 百分号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_chenjiahui/article/details/48378017
版权

python往数据库插入数据,

基础做法是:

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (1, '1', 'aa')"
cur.execute(sql,())

也可以这样:

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (%s, '%s', '%s')"
sql=sql%('2','2','bb')
cur.execute(sql,())

但是当含有特殊一点的字符时就有问题了,比如单引号,%等,甚至会被sql注入。

和其他语言一样,python也他的方法来解决sql注入。

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (%s, %s, %s)"
cur.execute(sql,('3','3','c%c'))

注意,后面2个%s的前后单引号去掉了。


结果如下:








佳慧-陈
关注
专栏目录
python sql 读取数据时如果数据表中包含特殊符号的方法
tinggao6688的博客
04-19 1311
python sql 读取数据时如果数据表中包含特殊符号 之前使用hive.sql读取表格中的数据的时候,发现表格的字段中包含特殊字符"$",在直接select的时候会报错 选择的代码: testsql=''' select $appte from TABLE1 where pt=20190410 ''' 报错: Py4JJavaError: An error occurred while ca...
python通过sqlalchemy访问数据库时特殊字符处理
cuisidong1997的博客
07-05 511
from urllib import parsepassowrd = parse.quote_plus(bad_password)
如何从Python中的元素列表中删除特殊字符
最新发布
wangbadan121的专栏
07-01 160
要从Python中的元素列表中删除特殊字符,您可以使用列表推导式(List Comprehension)结合 `str.isalnum()` 方法。这个方法会检查字符串中的每个字符是否都是字母或数字,如果是,则返回True;2. 使用列表推导式遍历这个列表,使用 `str.isalnum()` 方法检查每个元素的第一个字符是否是字母或数字。这段代码首先检查了每个元素的第一个字符是否是字母或数字,如果是,就将该元素保留在新的列表中。这个例子展示了如何在处理文本数据时,仅保留字母和数字的元素。
Python 小记:组织 SQL写入数据库特殊符号转义
分享既学习
06-07 504
最近写一个项目,需要将数据库中的 Slow SQL 查到,然后拼接 SQL 语句插入到数据库中,那 SQL 语句大家都知道,有很多特殊符号,拼接后插入数据库会报 SQL 语法错误,如何解决呢?使用上面的方法,escape_string(文本) 转义后,再插入数据库就不会报错了。
【MySQL 每日一技】使用 Python 操作 MySQL 数据库时应对特殊字符和空值处理
weixin_37780776的博客
05-11 1830
【MySQL 每日一技】使用 Python 操作 MySQL 数据库时应对特殊字符和空值处理
python3 插入 mysql 时内容带有特殊字符处理
shykevin的博客
11-27 2585
一、概述 插入mysql时,如果内容中有引号等特殊符号,会报错,简单的解决方法可以用反斜杠转义,还可以用 pymysql 的方法(pymysql.escape_string)自动转义: 使用举例: c = '''  北京时间9月20日晚间9点半,智能供应链服务供应商百世集团将在<a class="wt_article_link" "WeiboCard.show(212597343...
python数据库特殊字符转义_Python MySQL转义特殊字符
weixin_39869197的博客
12-04 372
我使用python在MySQL中插入一个带有特殊字符的字符串。要插入的字符串如下所示:macaddress_eth0;00:1E:68:C6:09:A0;macaddress_eth1;00:1E:68:C6:09:A1下面是SQL:UPGRADE inventory_serverset server_mac = macaddress\_eth0\;00\:1E\:68\:C6\:09\:A0\;...
python处理sql字符串的问题
前方的路在刚开始
01-11 926
python的sql遇到一个问题,这个问题是,我的字符串与sql语句产生了新的sql,导致语法错误。 修改方法如下,采用%s定义字符串。 代码 伪代码 import pymysql sql='select 字段1,字段2 from 表 where 字段1 in' strItem=strItem+","+"%s" #%s与字段的顺序一致 sql_list=字段 cur.execute(...
Python通过MySQLdb特殊字符转义
whucs2的专栏
10-06 1530
    最近维护代码发现存在部分数据存储失败的情况,项目是通过拼装sql语句,利用MySQLdb execute来进行数据的插入。增加日志后发现存在插入失败的情况多为value中存在单引号时,到时候整个sql语法存在问题,需要对单引号进行一下转义。     MySQLdb提供了转义工具,MySQLdb.escape_string()来对字符串进行处理,然后就可以避免问题...
python 处理特殊字符转换
weixin_45143622的博客
01-05 1206
pymysql------escape_string escape_string 方法直接将字符串中的特殊字符,进行转译功能,使用极其方便 案例 conn = pymysql.connect(host='localhost', user='root', password='123456', port=3306,db='test') #连接数据库 cur = conn.cursor() Str1=”hcsi /’ncjdn \’dscjnc” Str2=”hcsi /’ncjdn \’ds\\\///c
python sql注入检测_在源代码中检测SQL注入
weixin_39840111的博客
12-03 658
不确定这将如何与其他包进行比较,但在某种程度上,您需要解析传递给cursor.execute的参数。这段pyparsing代码寻找:使用字符串插值的参数使用字符串与变量名串联的参数只是变量名的参数但是有时参数使用字符串连接只是为了将一个长字符串分解成-如果表达式中的所有字符串都是被加在一起的文本,就没有SQL注入的风险。在此pyparsing片段将查找对光标.执行,然后查找存在风险的论点形式:fr...
cursor.execute(sql1, args),其他args中占位符都要是%s
m0_62740520的博客
05-12 1235
args = [result_blood_min, result_blood_max, result_tem, result_heart, date_alcohol] sql1 = "UPDATE car_now SET blood_min = %f ,blood_max= %f,body= %f,heart= %f ,alcohol= %s WHERE id=1;" cursor.execute(sql1, args) query = query % self._escape_args(arg.
python向mysql数据库插入数据处理特殊字符
热门推荐
AllanXu的专栏
01-14 1万+
python向mysql数据库插入数据时经常会碰到一些特殊字符,如单引号,双引号。 解决办法: cur.execute(u'''update table set name = %s where id = %s;''' , (name.decode('utf-8'),index)) 举例: name="I'mHere" 注意: cursor.execute()可以接受一个参数,也可
python 中 sql 语句包含%怎么格式化
清泉影月
03-10 2575
问题描述: python中sql语句包含 % 时,格式化会出问题,怎么破 # 举例 sql = "select * from test_db where name like '%%s%'" % ('真真',) 我们希望用“真真”替换 sql 语句中的 %s,但实际中会报错,处理的方式就是对 % 进行转义,用 %% 代替 % 如下 sql = "select * from test_db wher...
pythonexecute的arg传入与%like匹配冲突的解决
viviliving的专栏
11-10 848
因为%在python中三个特殊的符号,如%s。%d分别代表了字符串占位符和数字占位符。 当使用like的时候需要写两次 sql = "select * from test where name like '%%%%%s%%%%'"
解决Python字符串拼接原生SQL,带单双引号或者斜杠出错的问题
托马斯的博客
02-23 2357
1.如果是单双引号,不需要保留的情况下可以直接替换成空。以上就是由于在字符串拼接时单引号被转义导致的问题。2.特殊字符或者斜杠。
python向mysql插入特殊字符
★匆匆★的专栏
11-18 3738
http://blog.csdn.net/shellshine/article/details/8207448 向mysql数据库插入数据时经常会碰到一些特殊字符,如单引号,双引号。 cur.execute(u'''update table set name = %s where id = %s;''' , (p.decode('utf-8'),index)) name
python sql语句特殊符号转义。
元亮学长的博客哟
04-24 5919
python 进行数据库插入的时候,有时候个别字段碰到特殊符号的话会提示插入失败。但是我们可以用re.escape()对字段进行转义 示例: re.escape('www.python.org') 'www\\.python\\.org' ...
Python防止SQL注入:实现与示例
"使用Python防止SQL注入攻击的实现示例,包括理解Python SQL注入的概念、如何安全地构造和执行查询,以及通过示例展示在PostgreSQL数据库中的应用。" 在Python开发中,SQL注入攻击是一个严重的问题,攻击者通过输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值