python如何防止sql注入_python防止sql注入的方法

最新推荐文章于 2024-04-16 23:08:28 发布
最新推荐文章于 2024-04-16 23:08:28 发布
阅读量535 收藏 3
点赞数
文章标签: python如何防止sql注入

python防止sql注入的方法:

1. 使用cursor.execute(sql, args)的参数位:

sql_str = "select * from py_msgcontrol.py_msgcontrol_file_base_info where file_name = %s"

args = ["12';select now();"]

conn = pymysql.connect(**conn_dic)

cursor = conn.cursor()

cursor.execute(sql_str, args)

cursor.execute函数将传入的args中的特殊符号进行了转义,从而防止了sql注入的问题。

注意点是要传入sql语句的字符串占位用引号包起来会出错,像这样:

sql_str = "select * from py_msgcontrol.py_msgcontrol_file_base_info where file_name = '%s'"

报错:

pymysql.err.ProgrammingError: (1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '12\\';select now();''' at line 1")

2. 使用pymysql.escape_string对参数进行转义

args = pymysql.escape_string("12';select now();")

sql_str = "select * from py_msgcontrol.py_msgcontrol_file_base_info where file_name = '%s'" % args

conn = pymysql.connect(**conn_dic)

cursor = conn.cursor()

cursor.execute(sql_str)

weixin_39947961
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python基础语法13--MySQL数据库操作
nikeylee的博客
11-03 804
一、MySQL数据库 python3 与MySQL 进行交互编程,需要安装 pymysql 库:pip install --user pymysql 1、操作mysql数据库流程 引用API模块; 获取与数据库的连接; 执行sql语句,或存储过程; 关闭数据库连接。 2、 ...
flask mysql sql注入_Python 中如何防止sql注入
weixin_34622572的博客
03-04 1300
前言web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python方法其实类似,这里我就举例来说说。起因漏洞产生...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python】Pymyql模块的execute()总结
热门推荐
用代码构建世界
06-03 3万+
Pymysql模块用于驱动在Python中驱动mysql数据库。 通过此模块可以直接写sql语句运行 基本用法 #! python3 # @Project: mysite - sqlhelper.py # @Info : 提取sql的基本方法 import pymysql def get_connection(): """连接数据库""" # 连接数据库 ...
Python Flask Web开发:深入SQLAlchemy实践与安全防护策略
最新发布
weixin_45002431的博客
04-16 778
Python Flask作为一款轻量级且灵活的Web框架,常与SQLAlchemy ORM结合使用,以构建高效、结构化的数据库交互层。本文将详述SQLAlchemy的使用方法、注意事项,并探讨如何通过最佳实践来防范SQL注入攻击。同时,我们将阐述Jinja2模板引擎的常规与高级用法及其安全注意事项,为Python Flask Web开发提供全面的指导。
cursor.execute(sql1, args),其他args中占位符都要是%s
m0_62740520的博客
05-12 1186
args = [result_blood_min, result_blood_max, result_tem, result_heart, date_alcohol] sql1 = "UPDATE car_now SET blood_min = %f ,blood_max= %f,body= %f,heart= %f ,alcohol= %s WHERE id=1;" cursor.execute(sql1, args) query = query % self._escape_args(arg.
python中的myql的execute()
BJ1599449的博客
06-17 2749
python中的myql的execute() executesql,args)方法注意事项: 1、execute方法sql语句占位符是%s,与mysql中的?不同。 2、%s必须用括号包裹,如 insert into teacher(name) values (%s) 正确 insert into teacher(name) values %s 报错 3、args一般是list或tuple格式,如果只有一个参数,可直接传入 例子 while True:.
python实现sql注入_python 打造一个sql注入脚本 (一)
weixin_39678103的博客
12-11 1819
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记:sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php$id=$_GET['x'];$sql="select * from news where id=$x...
Python防止sql注入方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python防止sql注入方法,需要的朋友可以参考下。
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for ...
web_scan_code.zip_python_sql injection_sql注入_web scan_webscan
07-15
实现对网页的试错,判断后台数据库类型以及是否存在SQL注入的可能
python参数化查询_如何将参数化的sql查询放入变量,然后在Python中执行?
weixin_39771260的博客
12-23 1169
这是cursor.execute的调用签名:Definition: cursor.execute(self, query, args=None)query -- string, query to execute on serverargs -- optional sequence or mapping, parameters to use with query.因此execute最多需要3个参数(...
使用pymysql进行数据库查询,封装查询函数
乐亦亦乐的博客
05-01 1538
#数据库功能 def connect_mysql(): # 连接mysql数据库 conn = pymysql.connect( host='127.0.0.1', port=3306, user='用户', passwd='数据库密码', db='数据库名', charset='ut...
python操作MySQL数据库
PiaoYiLingDong的博客
11-30 451
使用python连接MySQL数据库,使用python操作数据库。
python数据库优化_Python学习(二十九)—— pymysql操作数据库优化
weixin_39729272的博客
12-05 258
转载自:http://www.cnblogs.com/liwenzhou/articles/8283687.html我们之前使用pymysql操作数据库的操作都是写死在视图函数中的,并且很多都是重复的代码。我们可以优化一下,把重复的代码提取出来,写成函数:importpymysql#定义一个数据库相关的配置项DB_CONFIG ={"host": "127.0.0.1","port": 3306,...
Python学习(二十九)—— pymysql操作数据库优化
weixin_30325071的博客
01-16 146
转载自:http://www.cnblogs.com/liwenzhou/articles/8283687.html 我们之前使用pymysql操作数据库的操作都是写死在视图函数中的,并且很多都是重复的代码。 我们可以优化一下,把重复的代码提取出来,写成函数: import pymysql # 定义一个数据库相关的配置项 DB_CONFIG = { "h...
Python——连接数据库操作
dajiba_fengsheng的博客
12-12 4022
一、数据库基础用法 要先配置环境变量,然后cmd安装:pip install pymysql 1、连接MySQL,并创建wzg库 #引入decimal模块 import pymysql #连接数据库 db=pymysql.connect(host='localhost',user='root',password='1234',charset='utf8') #创建一个游标对象(相当于指针) cursor=db.cursor() #执行创建数据库语句 cursor.execute('create
[转]python连接mysql
zj19880814的专栏
08-28 796
 模块功能 connect()方法用于连接数据库,返回一个数据库连接对象。如果要连接一个位于host.remote.com服务器上名为fourm的MySQL数据库,连接串可以这样写: db = MySQLdb.connect(host="remote.com",user="user",passwd="xxx",db="fourm" ) connect()的参数列表如下: ...
python防止sql注入的代码示例
11-01
为了防止SQL注入攻击,我们可以使用Python中的参数化查询。下面是一个Python防止SQL注入攻击的代码示例: ``` import mysql.connector # 连接数据库 mydb = mysql.connector.connect( host="localhost", user=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值