什么是SQL注入?
用户提交带有恶意的数与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。
如何防止SQL注入?
SQL语句参数化
SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作
将SQL语句中%s占位所需要的参数存在一个列表中,把参数列表传递给execute()方法中第二个参数
#游标
cursor = conn.cursor(pymysql.cursors.DictCursor)
#默认游标取出来的数据是元组((),)
#DictCursor对应的数据结构{[],],如果用的是fetcheone,那么结果是{}
sql = "select * from students where name = %S;"
try:
ret = cursor.execute(sql,("黄蓉",))
print(ret)
# 增删改都必须进行提交操作(commit)
conn.commit(sql)
except Exception as e:
#对插入、修改、删除的数据进行撤销,表示数据回滚(回到没有修改数据之前的状态)
conn.rellback
finally:
#关闭游标
cursor.close()
#关闭连接
conn.close()
参数化sql语句,%s作占位
#游标
cursor = conn.cursor(pymysql.cursors.DictCursor)
#默认游标取出来的数据是元组((),)
#DictCursor对应的数据结构{[],],如果用的是fetcheone,那么结果是{}
sql = "select * from students(name,age,gender,c_id) values(%s,%s,%s,%s);"
try:
#执行sql语句的传入的参数,参数类型可以是元组、列表、字典
ret = cursor.execute(sql,["黄蓉",75,"男",3])
print(ret)
# 增删改都必须进行提交操作(commit)
conn.commit(sql)
except Exception as e:
#对插入、修改、删除的数据进行撤销,表示数据回滚(回到没有修改数据之前的状态)
conn.rellback
finally:
#关闭游标
cursor.close()
#关闭连接
conn.close()