- 博客(1)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 为什么sqlite3里用"?"作占位符就能防止sql注入
Python sqlite3操作数据库的时候cur.execute(‘insert into t values (%d)’% num) 会被sql注入,但把占位符该成"?“就不会了。那问题来了,”?"到底做了什么才防止了sql注入呢?"?"会把参数当做值来处理,不管参数是什么,都把它插入表就完事。而直接的字符串拼接是把参数当做SQL语句的一部分,参数中有SQL语句的话,是有可能被执行的。参...
2019-07-27 18:14:24
2580
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人