python中pymysql执行sql的两种可防止sql注入漏洞的传参方式(1、元组/列表 2、dict字典)

最新推荐文章于 2024-03-06 11:17:14 发布
最新推荐文章于 2024-03-06 11:17:14 发布
阅读量625 收藏
点赞数
分类专栏: python mysql 文章标签: python pymysql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30966497/article/details/102502583
版权
python 同时被 2 个专栏收录
37 篇文章 1 订阅
订阅专栏
mysql
12 篇文章 0 订阅
订阅专栏

1、采用sql拼接的方式,拼接时用 xx= %s的方式,入参格式为元组或者list
如下举例:
sql = "select count(*) as sys_num from test where true "
params = []
if param1:
    sql += " and param1 = %s "
    params.append(param1)
if param2:
    sql +=  " and (param2=%s) "
    params.append(param2)
cur.execute(sql, params)
2、采用sql拼接的方式,拼接时用 xx=%(xx)s的方式, 入参格式为dict
如下举例:
sql = "select count(*) as sys_num from test where true "
params = {"param1": "xx", "param2": "xxx"}
if param1:
    sql += " and param1 = %(param1)s "
if param2:
    sql += " and (param2=%(param2)s) "
cur.execute(sql, params)

孤独王者¥
关注
专栏目录
python mysql防注入_Python防止sql注入的方法详解
weixin_28893597的博客
02-09 752
前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python的方法其实类似,这里我就举例来...
python读取数据库转换成字典_python MYSQL执行sql语句查询结果转化为内容为字典列表方便交互...
weixin_39647186的博客
11-28 728
部分公司出于安全,数据表过于复杂亦或者是其他方面的考虑,往往会希望直接用pymysql写原生sql语句去编写后台代码而不是使用orm之类技术去实现数据的获取。但是如此做的话,就会把数据库查询的结果作为请求的参数,但是原生sql返回的字段往往是元组嵌套元组结果集的形式,即((1,3),(2,3)),其内嵌的两个元组即我们查询的结果集的值。这样会导致我们无法准确的获取值所对应的关键字。并且获取的值只...
python mysql 元组_在pythonMySQLdb传递元组时出现问题
weixin_31967777的博客
01-26 229
我有一些sql查询可以通过python mysqldb运行到mysql数据库,但是我想让它们少一点sql注入漏洞,这样小bobby表就不会试图添加数据。。例如:原件:(这有效,因此ListID等绝对有效)sql="SELECT NAME FROM ListsTable WHERE ID=%s"%(ListID)c.execute(sql)尝试使用元组sql="SELECT NAME FROM ...
python操作mysql_Python 操作MySQLSQL注入
weixin_39519072的博客
11-24 145
Python 操作MySQLSQL注入2017-09-19 18:23阅读: 你若盛开_蝴蝶自来鹅厂DBA关注在Python语法,一般情况我们会这样写SQLSQL= 'UPDATE user SET nickname = %s WHEREuid = %s;'%(nickname,uid)然后执行:cursor.execute(SQL)但是这样会带来安全问题,如果传入的参数u...
如何使用Python操作MySQL的各种功能?高级用法?
最新发布
Everly_的博客
03-06 442
当今互联网时代,数据处理已经成为了一个非常重要的任务。而MySQL作为一款开源的关系型数据库,被广泛应用于各种场景。本篇博客将介绍如何使用Python操作MySQL的各种功能,以及一些高级用法。
使用python操作postgresql 查询
qingfengxd1的博客
10-21 1万+
1 安装 psycopg2 pip install psycopg2 2、连接数据库 每条完整的sql执行步骤如下; 建立连接获得 connect 对象 获得游标对象,一个游标对象可以对数据库进行执行操作,非线程安全,多个应用会在同一个连接种创建多个光标; 书写sql语句 调用execute()方法执行sql 抓取数据(可选操作) 提交事物 关闭连接 # -*- coding: utf-8 -*- import psycopg2 # 获得连接 conn = psycopg2.conn
python pymysql执行入参踩坑(%跟%%的区别)总结
qq_30966497的博客
10-23 4607
一、对于不同类型的入参,有不同的占位符,但是用多了会发现,%s才是真理 二、sql接可以用%s,也可以用format,如果不考虑sql注入风险问题,个人建议使用format,可以接受dict为入参进行匹配。 三、在考虑sql注入风险的情况下,可以将接好的sql跟入参分开,调用cur.execute(sql, params)来规避sql注入风险。 需要注意的是,这里有两种使用方式,建议使...
Python使用pymysql小技巧
09-09
Python,与MySQL数据库进行交互时,pymysql是一个常用的模块,特别是在Python 3.x环境下,因为MySQLdb不支持Python 3。pymysql提供了类似MySQLdb的接口,使得开发者能够轻松地执行SQL语句、获取数据以及管理...
Python MySQL数据库连接池组件pymysqlpool详解
09-09
Pythonpymysqlpool是一个专为MySQL数据库设计的连接池组件,它可以帮助开发者更有效地管理和复用数据库连接,从而提高程序的性能和资源利用率。在多线程环境pymysqlpool提供了线程安全的连接池,避免了频繁...
PythonMySQL查询结果返回字典类型的方法
09-10
Python,与MySQL数据库交互时,我们通常使用`MySQLdb`模块,它提供了一种简单的方式来连接和操作MySQL数据库。然而,默认情况下,当我们执行SQL查询并获取结果时,返回的数据是以元组(tuple)的形式,这意味着...
python如何循环sql语句_通过循环SQL语句传递Python列表 - python
weixin_39683863的博客
12-23 399
我试图弄清楚如何通过SQL的where语句将列表作为参数传递,我无法编写所需的内容,但是下面是所需的内容。这就是我要做的一个参数...。x = 1sql = """Select t1,t2,t3,t4 from database where t1= ? """cur.execute(sql,x)我需要的例子X = [1,2,3,4]Select t1,t2,t3,t4 from database...
python 数据库查询结果转dict_django 使用sql语句查询结果返回字典Dict方法
weixin_34790081的博客
02-03 1831
在django一些比较复杂的方法不适合使用orm,需要使用到sql语句查询。而django默认使用sql语句查询直接返回一个列表元祖数据,使用起来及其不是很方便。django使用sql语句方法:fromdjango.dbimportconnectiondefmy_custom_sql(self):withconnection.cursor()ascursor:cursor.exec...
python execute传参_Python Execute()恰好接受2个参数(给定3个)
weixin_39887925的博客
12-11 794
I am trying to insert into the SQLite DataBase values with this code:con.Execute('''UPDATE tblPlayers SET p_Level = ? WHERE p_Username= ? ''', (PlayerLevel,PlayerUsername))this is the Execute function...
pythonsql语句参数化
python全栈
11-01 2948
# 1、导入mysql from pymysql import * # 2、创建数据库lianjie conn = connect(host='localhost', port=3306, user='root', passwd='root', db='mytestdb', charset='utf8') print(conn) # 3、打开游标 cur=
python——数据库操作PyMysql使用详解
热门推荐
iamballer77的博客
10-10 2万+
PyMysql使用详解
python操作MySQL数据库(增 删 改 查)续篇
快递小可的博客
11-12 2797
python操作MySQL数据库(增 删 改 查)续篇
MyBatis入门六:SQL传参一:SQL传参;(单参数传递【基本包装类型】和多参数传递【Map接口】)
小枯林的博客
05-06 3288
本篇博客主要内容是:(1)SQL语句需要传参的解决办法;(2)只传一个参数时候parameterType设置成对应的包装类型;(3)传多个参数时候parameterType设置Map接口类型; 目录 1.只传一个参数:以根据id查商品信息为例; (1)在goods.xml新增一个select标签: (2)外侧实际调用,演示: 2.传递多个参数:以查询某个价格范围内的商品信息为例 (1)在goods.xml新增一个select标签: (2)外侧实际调用,演示: SQL查询有时是需要外部传.
python数据库查询怎么用变量_如何将参数化的sql查询放入变量,然后在Python执行?...
weixin_39553776的博客
12-20 1024
LEATH这是cursor.execute的呼叫签名:Definition: cursor.execute(self, query, args=None) query -- string, query to execute on server args -- optional sequence or mapping, parameters to use with query.因此exe...
python 接口传递参数params | data | json
qq_42466270的博客
06-23 3962
数据请求的参数、接口上传附件
Python操作MySQLpymysql模块详解及SQL注入防范
"pymysql模块的使用方法及SQL注入防范" 在Python操作MySQL数据库时,pymysql模块是一个常用的选择。它作为一个Python接口,允许开发者通过Python代码与MySQL服务器进行交互。首先,你需要通过`pip3 install ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值