防止SQL注入
SQL注入:用户提交带有恶意的数据与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生了数据泄露的现象
如何防止:
SQL语句参数化:
SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作
将SQL语句中%s展位所需要的参数存在一个列表中,把参数列表传递给execute方法中第二个参数
多参数:
防止SQL注入
SQL注入:用户提交带有恶意的数据与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生了数据泄露的现象
如何防止:
SQL语句参数化:
SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作
将SQL语句中%s展位所需要的参数存在一个列表中,把参数列表传递给execute方法中第二个参数
多参数: