Python 防止mysql 注入的两种方式

最新推荐文章于 2022-09-23 16:44:38 发布
最新推荐文章于 2022-09-23 16:44:38 发布
阅读量124 收藏
点赞数
文章标签: python 数据库
原文链接:http://www.cnblogs.com/yanguhung/p/10531728.html
版权

 

Python防止sql注入一般有两种方法

 

1. escape_string
 
MySQLdb.escape_string(param)

注意:如果报错出现

'ascii' codec can't encode characters in position 0-2: ordinal not in range(128)

 # 因为用户输入的字符串的字符集是ascll,但是ascll不支持中文, 所以我们可以把python的默认字符集改成utf-8就可以了

     

2. excute参数化传递
 
cur.excute(sql, (str1,str2)) 
import MySQLdb
conn = MySQLdb.connect(host='localhost', user='root', passwd='', db='test')
param = 'aaa'

## 第一种
escape_param = MySQLdb.escape_string(param)
cur = conn.cursor()
cur.execute("select * form table where col="+escape_param+"")
cur.commit()
cur.close()

##第二种
cur = conn.cursor()

  # 这是有效的,正确方式
  cur.execute('select * from table where col=%s',(param,))

  # 这是无效的,只是普通的占位符替换
  cur.execute('select * from table where col=%s'% (param,))

cur.commit()
cur.close()

 

转载于:https://www.cnblogs.com/yanguhung/p/10531728.html

weixin_30859423
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pythonMySQL学习——防止SQL注入
weixin_34384557的博客
06-05 227
pythonMySQL学习——防止SQL注入 学习了:https://www.cnblogs.com/xiaomingzaixian/p/7126840.html https://www.cnblogs.com/sevck/p/6733702.html  mysql环境,目前通过了%s的测试,但是?还是不行哦;  ...
mysql 注入防止的方法 python程序与mysql服务器端防注入
weixin_30414155的博客
09-25 97
什么是SQL注入?   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。   sql注入实例: http://www.runoob.com/mysql/mysql-sql-injection.html 1 在python代码中,参数化处理数据  sql = "INSERT INTO USER(N...
Python 数据库,操作mysql,防sql注入,参数化
houyanhua1的专栏
12-03 2580
  demo.py(防sql注入): from pymysql import * def main(): find_name = input("请输入物品名称:") # 创建Connection连接 conn = connect(host='localhost',port=3306,user='root',password='mysql',database='j...
PYTHON操作MYSQL防止SQL注入
朝着梦想 渐行前进
09-15 5906
下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHONMYSQL,使用不了JAVA代码中提供的一些现成的方法,而且MYSQLDB模块中的EXECUTE方法不支持表名使用占位符。 execute(self,query,
python在操作mysql数据库时,sql语句的字符转义问题可采用escape_string字符转义函数来解决
reg183的专栏
09-23 1799
遇到的问题及解决方法:遇到的问题:在使用python操作mysql数据库插入数据时,由于变量值也采用了多重引号,导致sql出现语法错误,而无法执行的问题解决方法:mysql数据库在插入数据时,可以使用escape_string()函数进行特殊字符的转义处理,同时也为了防止数据攻击。 要使用escape_string函数只需要加上from pymysql.converters import escape_string导入此函数即可。
pythonmysql基础用法
最新发布
01-29
PythonMySQL两种非常重要的 IT 技术,广泛应用于数据处理和后端开发。Python 是一种高级编程语言,以其简洁的语法和强大的库支持而受到程序员的青睐;MySQL 则是世界上最受欢迎的关系型数据库管理系统(RDBMS...
PythonMySQL
01-14
PythonMySQL两种非常重要的 IT 技术,广泛应用于数据管理、数据分析以及Web开发等领域。在本教程中,我们将深入探讨如何使用 Python 进行 MySQL 数据库的操作。 首先,Python 是一种高级编程语言,以其简洁...
使用Python操作MySQL的小技巧
09-14
Python编程中,与MySQL数据库进行交互是一种常见的任务,尤其在开发Web应用程序时。以下是一些使用Python操作MySQL数据库的关键知识点,这些技巧可以帮助你更高效地管理数据。 1. **获取插入数据的主键ID** 当向...
使用Python操作MySQL的一些基本方法
09-10
可以使用两种方式: 1. 直接在SQL语句中写入值: ```python cur.execute("insert into stu_info (name, age, sex) values ('Yi_Zhi_Yu',25,'man')") con.commit() ``` 2. 使用占位符`%s`,并传递一个包含实际值的...
浅谈Python访问MySQL的正确姿势
09-08
在上述例子中,可以看到使用占位符`%s`进行参数化查询,这是一种安全的查询方式,可以防止SQL注入攻击。 4. **事务处理**: ```python db = pymysql.connect(host='localhost', user='xufive', password='******...
Python MySQLdb escape_string 转义函数
热门推荐
maqingli20的专栏
01-07 1万+
python 模块MySQLdb自带的针对mysql的字符转义函数 escape_string
python MySQL.escape_string_Python MySQLdb 模块,escape_string() 实例源码 - 编程字典
weixin_35930255的博客
03-01 603
def run(self):try:self.conn = MySQLdb.connect(host=self.web.host,user=self.web.user,passwd = self.web.passwd,db=self.web.db,charset="utf8",connect_timeout=5)print "connet to%s,%s\n" % (self.web.host,s...
python - mysqldb模块防注入设置
yuuuuchang的博客
01-12 2439
mysqldb有处理sql语句的转义方法, 我们不用再考虑关于字符转义的问题在接收到客户端用户发送的表单之后, 如果需要根据用户输入来获取数据, (即需要把用户提交的一些数据作为sql语句的一部分), 如果是这样的话, 我们需要对其防注入处理.利用MySQLdb.escape_string()方法对用户输入字段进行转义MySQLdb.escape_string()可以对用户输入进行转义处理, 以便...
mysql 过滤单引号_python实现mysql的单引号字符串过滤方法
weixin_36054993的博客
01-20 240
本文实例讲述了python实现mysql的单引号字符串过滤方法。分享给大家供大家参考,具体如下:最主要用这个函数,可以处理MySQLdb.escape_string(content).class Guide:def __init__(self):self.time_zone = 7*3600 #设置时区self.now_time = int(time.time()) + self.time_zon...
Python中如何防止sql注入
定期分享编程干货~
04-05 2373
 sql注入中最多见的就是字符串拼接,研发人员对字符串拼接应该引发重视,不该忽略。python   错误用法1:mysql     sql = "select id, name from test where id=%d and name='%s'" %(id, name)sql     cursor.execute(sql)微信   错误用法2:函数     sql = "select id, name from test where id="+ str(id) +" and name='"+.
django项目 MySQLdb.escape_string(json_str) 报错,AttributeError: module ‘pymysql‘ has no attribute ‘escap
AiBigData的博客
03-24 1068
import json import pymysql import MySQLdb content = { "stylers" : { "color" : "#c4d7f5ff" }, "elementType" : "geometry", "featureType" : "water" } json_str = json.dumps(content) print(json_str) # json字符串不能直接写入到mysql中,需要进行转译 # django项目 MySQLdb.
python MySQLdb中转义字符串的问题
UFO
11-13 3832
#-*-coding: utf8 -*- from connectdb import connectDatabase; #connectDatabase是我自己定义的一个连接数据库的函数 import MySQLdb; def escape(): cnn = connectDatabase(); cursor = cnn.cursor(); name = "\\"; name2 =
PythonMySQL整合:提升应用效率指南
这本书由Albert Lukaszewski博士撰写,由Packt Publishing出版,旨在帮助开发者整合这两种技术,以实现更高效的数据管理和处理。" 在Python编程中,MySQL是一个常用的数据库管理系统,它提供了强大的数据存储和检索...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值