Python 数据库,操作mysql,防sql注入,参数化

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: Python+ 文章标签: Python mysql 防sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houyanhua1/article/details/84776791
版权

 

demo.py(防sql注入):

from pymysql import *

def main():

    find_name = input("请输入物品名称:")

    # 创建Connection连接
    conn = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')
    # 获得Cursor对象
    cs1 = conn.cursor()

    # 非安全的方式。  不要自己手动拼装sql语句。
    # sql = 'select * from goods where name="%s"' % find_name

    # 安全的方式
    # 构造参数列表
    params = [find_name]
    count = cs1.execute('select * from goods where name=%s', params)  # 通过params列表,自动填充%s  
    # 注意:
    # 如果要是有多个参数需要进行参数化
    # 那么params = [数值1, 数值2....],此时sql语句中有多个%s即可 
    
    result = cs1.fetchall()
    print(result)
    cs1.close()
    conn.close()

if __name__ == '__main__':
    main()

 

 

houyanhua1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python参数化查询_Python MySQL 使用预编译语句 执行参数化查询
weixin_34268462的博客
12-23 975
一、事故缘起今天构造了一个超过 50 多个参数的 SQL 插入语句,在执行的候提示 Not all parameters were used in the SQL statement,提示「SQL 语句中未使用所有参数」的异常,但是前前后后检查了 SQL 语句,发现每个参数都是与相应的字段一一对应的,类似于下面这样的代码块:mydb = mysql.connect(...)cursor = my...
pythonMySQL学习——防止SQL注入
weixin_34384557的博客
06-05 225
pythonMySQL学习——防止SQL注入 学习了:https://www.cnblogs.com/xiaomingzaixian/p/7126840.html https://www.cnblogs.com/sevck/p/6733702.html  mysql环境,目前通过了%s的测试,但是?还是不行哦;  ...
Python从入门到进阶】56、Mysql防止SQL注入及ORM库简化操作
最新发布
程序猿之洞
06-01 804
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
PYTHON操作MYSQL防止SQL注入
热门推荐
pi9nc的专栏
12-28 1万+
PYTHON操作MYSQL防止SQL注入 分类: MySQL2011-09-15 10:04 1024人阅读 评论(0) 收藏 举报 sqlpythonmysqlstringjavascriptquery 下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHONMYSQL,使用不了JAVA代码中提供的一
PythonMySQLpython的交互,防止sql注入
weixin_45365220的博客
10-11 359
python中使用MySQL的模块 import pymysql python中使用MySQL的基本流程 · python中使用MySQL的代码模板 from pymysql import * # 创建connection连接 conn = connect(host="localhost",port=3306,user="root",password="mysql",database="本地数据库名称", charset="utf8") # 获得cursor对象 cs = conn.cursor(
python使用mysql防止SQL注入
帅的飞起的博客
04-24 785
python使用mysql防止SQL注入
python mysql中in参数化说明
01-21
还是看看第二种:使用.format()函数,很多候我都是使用这个函数来对sql参数化的 举个例子: select * from XX where id in (1,2,3) 参数化in里面的值: select * from XX where id in ({}).format(‘1,2,3’)...
Python MySQL 日期间格式化作为参数操作
01-20
1.我的MySQL中的start_time存储的是2018-03-21 10:55:32格式的间,我需要按照YYYY-MM-DD格式来查询,我的MySQL中的sql是这样写的: SELECT * from mytable WHERE DATE_FORMAT(start_time,”%Y-%m-%d”)=’2018-03...
Python3实现的Mysql数据库操作封装类
09-09
Python3中,为了提高代码的可重用性和模块化,我们常常会将数据库操作封装成一个类。这个类通常包含了连接数据库、执行SQL查询、更新数据以及关闭连接等基本功能。以下是一个关于Python3实现的Mysql数据库操作封装...
python数据库操作mysqlpymysql、sqlalchemy常见用法详解
09-08
而`sqlalchemy`则是一个更高级的ORM(Object-Relational Mapping)库,它允许开发者使用Python类和对象的方式来操作数据库,将数据库操作转化为面向对象的编程。`sqlalchemy`不仅包含了数据库连接和SQL执行的功能,...
mysql 注入防止的方法 python程序与mysql服务器端注入;
weixin_30414155的博客
09-25 96
什么是SQL注入?   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。   sql注入实例: http://www.runoob.com/mysql/mysql-sql-injection.html 1 在python代码中,参数化处理数据  sql = "INSERT INTO USER(N...
python mysql 参数化查询_python3中使用MySQLdb的参数化查询
weixin_29752563的博客
01-19 392
MySQL Python项目不支持python3-see the project web page,它多年来一直说“python3支持很快就会到来”,而{a2}只提供python2.7版本,并说:Python-3.0 will be supported in a future release.据我所知,没有可用的“-py3.2”发行版(或者可以通过搜索找到);您的主机可能有一些愚蠢的东西(例如th...
python 防止sql注入
weixin_45945976的博客
01-30 798
使用参数化查询可以将用户输入的数据与SQL语句进行分离,从而避免将用户输入内容作为SQL查询的一部分,从而防止SQL注入攻击。请注意,以上是三种常用的防止SQL注入的方法,但并不能保证绝对安全。在处理用户输入,始终应该保持警惕,遵循最佳安全实践,进行输入验证和过滤。使用ORM框架可以直接操作数据库表对应的对象,ORM框架会自动执行参数化查询。3、使用数据库自带的转义函数:一些数据库提供了转义函数来处理特殊字符,将它们转换为安全字符。使用这些函数可以在执行SQL查询之前对用户输入进行转义。
Python 防止mysql 注入的两种方式
weixin_30859423的博客
03-14 123
Python防止sql注入一般有两种方法 1.escape_string MySQLdb.escape_string(param) 注意:如果报错出现 'ascii' codec can't encode characters in position 0-2: ordinal not in range(128) # 因为用户输入的字符串的字符集是ascll,...
python数据库中添加参数_python mysql中in参数化说明
weixin_39576149的博客
11-26 106
第一种:拼接字符串,可以解决问题,但是为了避免sql注入,不建议这样写还是看看第二种:使用.format()函数,很多候我都是使用这个函数来对sql参数化的举个例子:select * from XX where id in (1,2,3)参数化in里面的值:select * from XX where id in ({}).format('1,2,3')你可以打印下看看,和你原来的sql是一模一...
mysql--mysqlpython的交互--防止sql 注入
sundanping_123的博客
07-01 192
如何防止?构建参数 新增功能5:根据商品名字查询商品信息 这里如果不使用 防止sql 注入,就会有可能被用户查询出所有的商品信息,这里我们使用构建参数sql注入)来实现这一功能 from pymysql import connect class JD(object): def __init__(self): # 创建连接 self.conn = c...
pyhton】连接数据库及带参数插入数据
qq_41346335的博客
04-10 3176
前言 最近做项目要把新闻的标题,内容,链接提取出来,放入数据库。花了2天半的间弄这个,踩了一些坑,记录下来。 pymysql连接数据库 # 打开数据库连接 db = pymysql.connect("47.107.41.60","root","密码","wisdomagriculture" ) # 使用cursor()方法获取操作游标 ...
pythonmysql相关(数据库连接、查询以及sql参数化
sh_suhu的博客
11-22 1148
首先可以用 pymysql 库来连接 MySQL 数据库,然后通过。最后,如果要将列名、表名、查询条件全部参数化,参考如下。将上文中的 执行sql查询语句 部分替换成下面的代码。
python3参数化列表防止SQL注入
monkey的博客
01-27 1469
什么是SQL注入 产生原因: 后台将用户提交的带有恶意的数据和SQL进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。 如果防止: sql语句的参数化, 将SQL语句的所有数据参数存在一个列表中传递给execute函数的第二个参数 注意 此处不同于python的字符串格式化,必须全部使用%s占位 所有参数所需占位符外不需要加引号 from pymysql import ...
Python操作数据库参数说明及连接对象介绍
本文主要介绍了如何使用Python操作数据库,通过学习《零基础学Python课件11 第11章 使用Python操作数据库》的相关内容,我们了解到了Python操作数据库的基本原理和常用方法。首先,我们需要连接数据库,使用的参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值