python execute() 使用%s 拼接sql 避免sql注入攻击 好于.format

已于 2023-09-12 19:34:08 修改
阅读量834 收藏 1
点赞数
分类专栏: python基础 python 文章标签: sql 数据库
于 2023-09-12 18:42:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tenc1239/article/details/132838374
版权

1 execute(参数一:sql 语句)

# 锁定当前查询结果行
cursor.execute("SELECT high, low, vol FROM table_name WHERE symbol = %s FOR UPDATE;"% (symbol,))

2 .format()

cursor.execute("SELECT high, low, vol FROM table_name WHERE symbol = {} FOR UPDATE;".format(symbol))

3 结论

使用 .format() 方法拼接 SQL 语句确实能够解决一些 SQL 注入攻击问题,
但并不能完全避免 SQL 注入攻击。
原因是,.format() 方法并没有对参数进行任何的安全检查和过滤,
如果参数中包含某些 SQL 语句关键字或特殊字符,仍然可能会导致 SQL 注入攻击。

相比之下,使用占位符(如 %s、? 或 :name)的方式可以更好地避免 SQL 注入攻击,
因为这些占位符会被数据库驱动程序自动转义和过滤。
因此,使用占位符的 SQL 查询语句比手动拼接 SQL 语句和参数更加安全。

tenc1239
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
一文详解Python中的SQL
weixin_68789096的博客
01-20 1963
5.SQL语言的分类:数据库管理系统功能很多,不仅是储存数据,还包含:数据的管理,表的管理,库的管理,账户管理,权限管理等等。来查看有哪些数据库。总体可以分为三个层次:库,表,数据;数据库SQL是相辅相成的,数据库是用来存储数据的,而在这个过程中会涉及到:数据的增删,数据的删除,数据的修改,数据的查询和数据库数据表的管理。2.数据库:数据包含数据的存储和数据的计算,目前所学习的python编程语言就可归纳为数据计算这一类的,在个人开发或企业中我们一般使用数据库来存储数据,那么数据库又是如何存储数据的呢?
一个简单的SQL注入攻击的例子
最新发布
06-06
防范SQL注入攻击 使用参数化查询:这是防止SQL注入的最有效方法。参数化查询确保了输入数据不会被解释为SQL代码的一部分。 例如,在Python使用sqlite3库的参数化查询: PYTHON 复制 1 2 3 4 5 6 7 import sqlite...
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块
pythonsql语句中使用%s,%d,%f说明
01-20
python连接数据库执行增删查改 mysql数据库 import pymysql postgresql数据库 import psycopg2 普通含%的python语句 sql语句中 普通sql语句 select * from tables where tablename = ‘table_name’ ,所以这里该加的引号还是要加 不加的情况 翻页的情况 like的情况 因为普通sql语句是 where 列名 like ‘4301%’ 这里需要多加一个%防止转义 补充知识:pythonsql 语句包含%怎么格式化 问题描述: pythonsql语句包含 % 时,格式化会出问
回答自己一年前的一个问题,python如何动态拼接sql
qq_2192330908的博客
03-16 572
问题看似好像解决了,那么又引入了新的问题,示例只有3个入参,如果入参扩大到成百上千个,那还要写几百几千个if来一一判断吗,好像不太现实呢,效率也很低。这么看好像是精简了一些,但是又提出疑问了,如果入参字段值并不是完全对应数据库字段值呢,假设有一个字段temp,它的值大于1则在数据库中存储A,否则存储为B,那么就需要加上if条件来特殊处理。哦吼,遗漏了一个重要的点,其实接口报文的字段,大多与数据库表字段不是一样的,在拼接sql前,需要提前做好字段的映射,从而保证字段能够一一对应,分享到这里就结束啦~~
PythonSQL Server数据库完美结合,数据处理得心应手
weixin_49097920的博客
08-23 1763
脚本实现封装后,只需要在SqlServer.yaml文件中写用例即可,此后执行SqlServer.py脚本即实现数据库的增删改查操作。这个类实现了同时连接多个 SQL Server 数据库,并提供了执行查询和非查询操作的能力。PublicConfig.py脚本: 配置读取信息,方便调用。SqlServer.yaml 编写多个数据库连接信息。方案二:直接调用封装脚本(写用例,执行脚本即可)直接套用脚本,需可以看懂一些脚本逻辑。
python的pymysqlsql注入
软件测试老痞
12-09 180
import pymysql conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',passwd='ljj83538301',db='test',charset='utf8') # cursor = conn.cursor()#拿到的是元组 cursor = conn.cursor(cursor=pymysql.cursor...
PythonSQL 这样超强结合,处理数据才是爆赞!
Java癫疯的博客
11-08 142
PythonSQL 这样超强结合,处理数据才是爆赞!
python中的myql的execute()
BJ1599449的博客
06-17 2709
python中的myql的execute() executesql,args)方法注意事项: 1、execute方法中sql语句占位符是%s,与mysql中的?不同。 2、%s必须用括号包裹,如 insert into teacher(name) values (%s) 正确 insert into teacher(name) values %s 报错 3、args一般是list或tuple格式,如果只有一个参数,可直接传入 例子 while True:.
PostgreSQL AB表切换最佳实践 - 提高切换成功率,杜绝雪崩
迷路剑客个人博客
07-23 1451
PostgreSQL AB表切换最佳实践 - 提高切换成功率,杜绝雪崩 转载声明 本文大量内容系转载自以下文章,有删改,并参考其他文档资料加入了一些内容: PostgreSQL AB表切换最佳实践 - 提高切换成功率,杜绝雪崩 作者:weixin_34249678 1 背景 AB表切换经常出现在数据导入的场景中,例如每天或者每个固定周期,需要全量导入一批数据到数据库,同时被导入的数据要持续的被查询。 为了尽量避免导入影响查询,通常会使用AB表切换的方法。使用如下步骤: 建新表 全量数据导入到新表 在新
python每日之格式化
exusiaiZ的博客
09-21 575
python每日之格式化 string=“hello” #%s打印时结果是hello print “string=%s” % string # output: string=hello #%2s意思是字符串长度为2,当原字符串的长度超过2时,按原长度打印,所以%2s的打印结果还是hello print “string=%2s” % string # output: string=hello #%7s意思是字符串长度为7,当原字符串的长度小于7时,在原字符串左侧补空格, #所以%7s的打印结
postgre sql 将非分区表转化为分区表,动态创建和删除分区
qq_41982570的博客
09-15 1674
postgre sql 将非分区表转化为分区表,动态创建和删除分区
hanshu.rar_Execute sql vb
09-24
ExecuteSQl函数 可用于VB编程,与数据库连接用
在sp_executesql使用like字句的方法
09-11
在sp_executesql中可以执行参数化的sql,但是如果sql中有like,那么一般都要拼字符串,下面的例子把两者结合了起来,既有拼sql的灵活性,又有参数化sql的优点。
Pyhton中防止SQL注入的方法
12-25
复制代码 代码如下: c=db.cursor() max_price=5 ...如果按照以下写法,是容易产生SQL注入的: 复制代码 代码如下: c.execute(“””SELECT spam, eggs, sausage FROM breakfast  WHERE price < %s””” %
Python中字符串拼接
分享--------留住生活
07-09 1454
目录 1."+"拼接 1.1.数据库sql语句拼接参数 2.","拼接 3.直接拼接 4.Join()拼接 1."+"拼接 很多的编程语言都支持使用+号拼接字符串,Python也不例外。但是Python的+号拼接和其他语言是有区别的,比如Java中,+号拼接时不看两边的类型是否一致;Python拼接的话,+号两边类型不一致会报错。如下图所示。 上图是因为使用+号拼接字符串...
python操作mysql数据库
个人学习笔记库,一篇一篇记录成长的足迹
03-29 3084
Python DB-API操作数据库 Python 标准数据库接口为 Python DB-API,Python DB-API为开发人员提供了数据库应用编程接口。Python 数据库接口支持非常多的数据库:mysql,oracle。 不同的数据库你需要下载不同的DB API模块,例如你需要访问Oracle数据库和Mysql数据,你需要下载Oracle和MySQL数据库模块。 Python的DB-API,为大多数的数据库实现了接口,使用它连接各数据库后,就可以用相同的方式操作各数据库使用python DB
python 参数占位符%导致sql执行失败
fred4321的博客
01-17 1497
python 参数占位符%导致sql执行失败 sql中含有%python会认为是python的参数占位符但是此时没有参数因此会报错。 解决方法将%为%%
python mysql
weixin_33901926的博客
02-22 279
2019独角兽企业重金招聘Python工程师标准>>> ...
python execute
06-03
如果您想在终端中执行 Python 代码,可以按照以下步骤: 1. 打开终端或命令行界面。 2. 输入 `python` 命令,启动 Python 解释器。您应该会看到类似以下的提示符:`>>>`。 3. 在提示符后面输入 Python 代码,并按下回车键执行。例如,输入 `print("Hello, world!")` 将输出 "Hello, world!"。 如果您有一个 Python 脚本文件,您可以通过以下命令在终端中执行它: ``` python /path/to/your/script.py ``` 其中 `/path/to/your/script.py` 是您的 Python 脚本文件的路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值