python与pymysql交互 防止sql注入

最新推荐文章于 2024-06-10 11:54:27 发布
最新推荐文章于 2024-06-10 11:54:27 发布
阅读量901 收藏 2
点赞数 1
分类专栏: Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/erfan_lang/article/details/120527431
版权

sql python 数据库

目录

什么是SQL注入?

用户提交带有恶意的数与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。

如何防止SQL注入?

SQL语句参数化
SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作
将SQL语句中%s占位所需要的参数存在一个列表中,把参数列表传递给execute()方法中第二个参数

#游标
cursor = conn.cursor(pymysql.cursors.DictCursor)
#默认游标取出来的数据是元组((),)
#DictCursor对应的数据结构{[],],如果用的是fetcheone,那么结果是{}
sql = "select * from students where name = %S;"

try:
    ret = cursor.execute(sql,("黄蓉",))
    print(ret)
    # 增删改都必须进行提交操作(commit)
    conn.commit(sql)
except  Exception as e:
    #对插入、修改、删除的数据进行撤销,表示数据回滚(回到没有修改数据之前的状态)
    conn.rellback
finally:
    #关闭游标
    cursor.close()
    #关闭连接
    conn.close()

参数化sql语句,%s作占位

#游标
cursor = conn.cursor(pymysql.cursors.DictCursor)
#默认游标取出来的数据是元组((),)
#DictCursor对应的数据结构{[],],如果用的是fetcheone,那么结果是{}
sql = "select * from students(name,age,gender,c_id) values(%s,%s,%s,%s);"

try:
    #执行sql语句的传入的参数,参数类型可以是元组、列表、字典
    ret = cursor.execute(sql,["黄蓉",75"男",3])
    print(ret)
    # 增删改都必须进行提交操作(commit)
    conn.commit(sql)
except  Exception as e:
    #对插入、修改、删除的数据进行撤销,表示数据回滚(回到没有修改数据之前的状态)
    conn.rellback
finally:
    #关闭游标
    cursor.close()
    #关闭连接
    conn.close()
Yicsr
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
flask mysql sql注入_Python 中如何防止sql注入
weixin_34622572的博客
03-04 1300
前言web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python的方法其实类似,这里我就举例来说说。起因漏洞产生...
python使用pymysql操作mysql
Gavin_CHEN929的博客
12-24 749
1.pymysql安装window命令行使用pip安装:pip install pymysql2.mysql写入引入开发包import pymysql.cursors获取数据库连接connection = pymysql.connect(host='localhost', user='root',
Python从入门到进阶】56、Mysql防止SQL注入及ORM库简化操作
程序猿之洞
06-01 808
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
python使用mysql防止SQL注入
帅的飞起的博客
04-24 786
python使用mysql防止SQL注入
pymysql防止SQL注入
qq_52649952的博客
06-10 163
pymysql防止SQL注入
Python 与 MySQL 进行增删改查的操作以及防止SQL注入
LoadingCreate的博客
06-03 1067
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
Python防止SQL注入攻击的方法
qalangtao的博客-qalangtao.com
01-24 690
在Web开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过在输入框中输入恶意的SQL语句来获取敏感数据或者破坏数据库。Python作为一种流行的编程语言,在处理用户输入时需要特别注意防止SQL注入攻击。本文将介绍Python防止SQL注入攻击的方法,并给出相应的代码示例。在使用ORM框架时,开发者无需直接编写SQL语句,框架会自动处理参数化查询,从而避免SQL注入攻击。这样可以防止用户输入的内容被解释为SQL语句的一部分。函数对输入进行过滤,去除首尾的空白字符。在上面的代码中,我们使用了。
PythonPyMySQL操作详解
创作不易,请多支持,将为本站提供更多「有价值的文章」。
10-23 661
PyMySQL 是在 Python3.x 版本中用于连接 MySQL 服务器的一个库,Python2中则使用mysqldb。Django中也可以使用PyMySQL连接MySQL数据库。
最好用的Python连接Mysql库文件,防止SQL注入,可用数组编写SQL
02-20
Python在与MySQL数据库交互时,通常会使用各种库来实现高效、安全的连接。本篇文章将详细介绍如何使用Python连接MySQL数据库,并重点讲解如何防止SQL注入、利用数组编写SQL以及处理高并发场景,确保数据安全。 首先...
python mysql pymysql数据库连接池源代码
09-28
Python中,`pymysql`库提供了与MySQL数据库交互的能力,而为了提高性能和资源管理,通常会使用数据库连接池(Connection Pool)。本文将深入探讨Python中的`pymysql`库以及如何使用它来实现数据库连接池。 `...
python+Django实现防止SQL注入的办法
09-18
主要介绍了python+Django实现防止SQL注入的办法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
pymysql适用python2.7版本
04-16
Python编程中,与数据库的交互是不可或缺的一部分,尤其是在处理大量数据或构建Web应用程序时。PyMySQL是一个纯Python实现的MySQL客户端库,它为Python2.7及更高版本提供了与MySQL数据库连接的功能。在Python2.7...
Pythonpymysql面向对象操作类CURD).zip
01-16
Python的数据库操作中,`pymysql`是一个流行的MySQL数据库连接库,它提供了与MySQL交互的功能。面向对象编程(Object-Oriented Programming, OOP)是Python编程的核心概念之一,将数据库操作类化可以使得代码更加...
python pymysql库的常用操作
12-16
通过pymysql库,Python开发者可以方便地与MySQL数据库进行交互,进行数据的增删查改操作。了解和掌握这些基本操作对于Python在数据库应用方面的能力提升至关重要。在实际应用中,还需要注意SQL注入等问题,可以使用...
使用Python防止SQL注入攻击
热门推荐
吴秋霖的博客
05-19 2万+
让我们一起掌握Python防止SQL注入的技巧跟方法来抵抗恶意攻击吧!
python 防止sql注入
weixin_45945976的博客
01-30 800
使用参数化查询可以将用户输入的数据与SQL语句进行分离,从而避免将用户输入内容作为SQL查询的一部分,从而防止SQL注入攻击。请注意,以上是三种常用的防止SQL注入的方法,但并不能保证绝对安全。在处理用户输入时,始终应该保持警惕,遵循最佳安全实践,进行输入验证和过滤。使用ORM框架可以直接操作数据库表对应的对象,ORM框架会自动执行参数化查询。3、使用数据库自带的转义函数:一些数据库提供了转义函数来处理特殊字符,将它们转换为安全字符。使用这些函数可以在执行SQL查询之前对用户输入进行转义。
python防止sql注入
HideInTime的博客
04-14 3951
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
python在使用pymysqlsql如何规避sql注入
春天的波菜
05-31 603
import pymysql conn = pymysql.connect(host="127.0.0.1",port=3306,user='root',password='123', database='pooldb',charset='utf8') cursor = conn.cursor() # 重点 sql= ' "select * from td where id=%s", [5, ] ' cursor.execute(sql) result = cursor.fetchal...
pythonpymysql
最新发布
07-01
Python中的`pymysql`是一个流行的库,用于与MySQL数据库进行交互。它提供了完整的Python接口,使得开发者能够方便地执行SQL查询、插入、更新和删除等操作。`pymysql`支持Python 3版本,并且是MySQL官方推荐的Python驱动程序,相比于其他如`mysql-connector-python`,它的性能和稳定性通常较好。 以下是使用`pymysql`进行基本操作的一些步骤: 1. 安装:你可以通过pip安装`pymysql`,命令如下: ``` pip install pymysql ``` 2. 连接到数据库: ```python import pymysql connection = pymysql.connect( host='your_host', user='your_username', password='your_password', db='your_database' ) ``` 3. 创建游标并执行SQL: ```python cursor = connection.cursor() cursor.execute('SELECT * FROM your_table') results = cursor.fetchall() ``` 4. 关闭连接: ```python connection.close() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值