sql注入问题
'''
利用一些语法特性 书写一些特点的语句实现固定语法
Mysql 利用的是MySQL的注释语法
日常生活中很多软件在注册的时候都不能含有特殊符号,因为怕你构造出特定的语句入侵数据库 ,不安全
因此,敏感的数据自己不要做拼接
先用%s占位 之后将需要拼接的数据交给execute方法即可
'''
#python代码结合数据库实现用户登录功能
import pymysql
conn=pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password='',
database='db3',
autocommit=True,
charset='utf8')#千万不要加- #链接数据库
cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)#参生一个游标对象,等待命令输入,用来执行命令的
name=input('>>>')
password=input('>>>')
sql="select * from user where name='%s' and password='%s'"%(name,password)
rows=cursor.execute(sql)
if rows:
print('登录成功')
print(cursor.fetchall())
else:
print('用户名或密码错误')
解决方案
import pymysql
conn=pymysql.connect(
host='127.0.0.1',
port=3306,
user='root',
password='',
database='db3',
autocommit=True,
charset='utf8')#千万不要加- #链接数据库
cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)#参生一个游标对象,等待命令输入,用来执行命令的
name=input('>>>')
password=input('>>>')
sql="select * from user where name=%s and password=%s"
#不要手动拼接数据,先用%s占位 之后将需要拼接的数据交给execute方法即可
print(sql)
rows=cursor.execute(sql,(name,password))#自动识别sql里面的%s,用后面元组里面的数据替换,并且过滤掉特殊符号
if rows:
print('登录成功')
print(cursor.fetchall())
else:
print('用户名或密码错误')