python在使用pymysql写sql如何规避sql注入

最新推荐文章于 2024-06-10 11:54:27 发布
最新推荐文章于 2024-06-10 11:54:27 发布
阅读量597 收藏
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/legend818/article/details/117411169
版权

这样写的方式主要是   规避sql注入风险

# 不能把变量名直接放到sql执行语句中,防止sql攻击
sql = "select * from user where name = %s and pwd = %s"
 
count = c.execute(sql,(name,pwd))

示例:

import pymysql
conn = pymysql.connect(host="127.0.0.1",port=3306,user='root',password='123', database='pooldb',charset='utf8')
cursor = conn.cursor()
#  重点
   
cursor.execute("select * from td where id=%s", [5, ])
result = cursor.fetchall()  # 获取数据
cursor.close()
conn.close()  # 关闭链接




# 传参部分我改造了一下

sql=  "select * from td where id=%s"   
sql_var = [5, ] 
cursor.execute(sql, sql_var)

 

春天的菠菜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python使用mysql防止SQL注入
帅的飞起的博客
04-24 777
python使用mysql防止SQL注入
Python 与 MySQL 进行增删改查的操作以及防止SQL注入
LoadingCreate的博客
06-03 1062
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
pymysql防止SQL注入
最新发布
qq_52649952的博客
06-10 155
pymysql防止SQL注入
Python防止SQL注入攻击的方法
qalangtao的博客-qalangtao.com
01-24 660
在Web开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过在输入框中输入恶意的SQL语句来获取敏感数据或者破坏数据库。Python作为一种流行的编程语言,在处理用户输入时需要特别注意防止SQL注入攻击。本文将介绍Python防止SQL注入攻击的方法,并给出相应的代码示例。在使用ORM框架时,开发者无需直接编SQL语句,框架会自动处理参数化查询,从而避免SQL注入攻击。这样可以防止用户输入的内容被解释为SQL语句的一部分。函数对输入进行过滤,去除首尾的空白字符。在上面的代码中,我们使用了。
pythonpymysql交互 防止sql注入
erfan_lang的博客
09-28 897
目录什么是SQL注入?如何防止SQL注入?参数化sql语句,%s作占位 什么是SQL注入? 用户提交带有恶意的数与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。 如何防止SQL注入SQL语句参数化 SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作 将SQL语句中%s占位所需要的参数存在一个列表中,把参数列表传递给execute()方法中第二个参数 #游标 cursor = conn.cursor(pymysql.cursors.DictCu
pycharm代码注释方法
登高必自卑,行远必自迩
01-17 1729
Python怎么进行代码注释..
pymysql如何解决sql注入问题深入讲解
09-09
Pythonpymysql库中,处理SQL注入问题至关重要,因为如果不加以防范,可能会导致敏感数据泄露或系统破坏。本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符...
python中的pymysql模块基本使用
01-06
使用pymysql模块 我已经在navicat里创建了taobao数据库,里面导入了一些数据,以供练习pymysql。 之后可以打开pycharm,新建一个项目,我的项目名称为lianxi_pymysql。 import pymysq db = pymysql.Connect( host = ...
python3.6使用pymysql连接Mysql数据库
12-24
python3.6使用pymysql连接Mysql数据库及简单的增删改查操作,供大家参考,具体内容如下 折腾好半天的数据库连接,由于之前未安装pip ,而且自己用的Python 版本为3.6. 只能用 pymysql 来连接数据库,(如果有和我...
python使用pymysql操作MySQL的基础操作
12-21
本篇文章将详细介绍如何使用Pythonpymysql库来操作MySQL数据库,包括连接数据库、创建数据库和表,以及执行基本的SQL语句(增、删、改、查)。 首先,我们需要导入pymysql库。pymysqlPython中一个用于连接MySQL...
python3使用PyMysql连接mysql数据库实例
12-24
下面来说下python3如何安装和使用pymysql,另外两个方案我会在以后再讲。 1.pymysql安装 pymysql就是作为python3环境下mysqldb的替代物,进入命令行,使用pip安装pymysql pip install pymysql3 2.pymysql使用 如果想...
python mysql注入_Python防止sql注入的方法详解
weixin_28893597的博客
02-09 706
前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python的方法其实类似,这里我就举例来...
PYTHON操作MYSQL防止SQL注入
热门推荐
pi9nc的专栏
12-28 1万+
PYTHON操作MYSQL防止SQL注入 分类: MySQL2011-09-15 10:04 1024人阅读 评论(0) 收藏 举报 sqlpythonmysqlstringjavascriptquery 下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHON和MYSQL使用不了JAVA代码中提供的一
SQL注入pymysql绑定变量防止SQL注入
wanngxue的博客
08-21 1744
拼接式的SQL语句存在SQL注入 而通过绑定变量的方式则能有效防止SQL注入 %s为占位符 通过Sqlmap进行SQL注入时要及时清理掉 .sqlmap目录下的output中的缓存,否则在多次对同一个站点进行扫描时,sqlmap将不会再发出HTTP请求,只会扫描之前的站点,影响判断。 ...
pythonPyMySQL模块的使用SQL注入
Monicx的博客
05-11 3667
    首先简单的说一下PyMySQL模块是干什么用的。它是某个大神给我们这些python开发人员用Python语言编的一个MySQL驱动程序,让我们可以用Python语言操作MySQL数据库。如果你不想要用它,如果你很牛,你自己也可以开发一个,但是别人都好了,你自己一个,也没什么价值,就是浪费时间。    so,大树底下好乘凉,我们只要把大神好的模块拿过来用就好了,那么怎么用呢。让我来为...
Python 数据库,操作mysql,防sql注入,参数化
houyanhua1的专栏
12-03 2578
  demo.py(防sql注入): from pymysql import * def main(): find_name = input("请输入物品名称:") # 创建Connection连接 conn = connect(host='localhost',port=3306,user='root',password='mysql',database='j...
python如何防止sql注入_python操作MYSQL防止SQL注入
weixin_39684454的博客
12-03 200
SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统...
pymysql 过滤防sql注入
hllyzms的博客
09-10 716
传参防注入 import pymysql user = input("username:") pwd = input("password:") conn = pymysql.connect(host="localhost",user='root',password='',database="db1") cursor = conn.cursor() sql = "select *...
如何在python使用pymysql获取数据库的数据
04-05
1. 首先需要安装pymysql模块,可以使用pip安装: ``` pip install pymysql ``` 2. 在代码中引入pymysql模块并连接数据库: ```python import pymysql # 连接数据库 conn = pymysql.connect(host="localhost", user="root", password="password", database="test") ``` 3. 执行SQL查询语句并获取结果: ```python # 创建游标对象 cursor = conn.cursor() # 执行查询语句 sql = "SELECT * FROM students" cursor.execute(sql) # 获取结果 result = cursor.fetchall() print(result) ``` 完整代码示例: ```python import pymysql # 连接数据库 conn = pymysql.connect(host="localhost", user="root", password="password", database="test") # 创建游标对象 cursor = conn.cursor() # 执行查询语句 sql = "SELECT * FROM students" cursor.execute(sql) # 获取结果 result = cursor.fetchall() print(result) # 关闭游标和连接 cursor.close() conn.close() ``` 注意事项: - 在使用pymysql连接数据库时,需要指定host、user、password、database等参数。 - 在执行查询语句时,需要创建游标对象并使用execute方法执行SQL语句。 - 在获取查询结果时,可以使用fetchall方法获取所有结果,也可以使用fetchone方法获取一条结果。 - 在完成操作后需要关闭游标和连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值