Python预编译语句防止SQL注入

"""
@author: zhangjun.xue
@time: 2019/12/18 22:20
@file: xue_test.py
@desc: 
"""

# Python预编译语句防止SQL注入

# 错误用法：
# 1 sql = "select id,type,name from xl_bugs where id = %s and type = %s" % (id, type)
# 2 cur.execute(sql)

# 这种用法就是常见的拼接字符串导致sql注入漏洞的产生。
# 看到这个突然想到上个礼拜drupal水滴的那个漏洞，其并不是预编译语句被绕过了。
# 而是在构造带入的预编译语句的时候拼接了用户输入字符串，还未带入查询的预编译语句已经被注入了，之后带入正确的参数，最后被注入了

# 正确用法：
# execute() 函数本身有接受sql语句参数位的，可以通过python自身的函数处理sql注入问题。
# 1 args = (id, type)
# 2 cur.execute('select id, type ,name from xl_bugs where id = %s and type = %s', args )
# 使用如此参数带入方式，python会自动过滤args中的特殊字符，制止SQL注入的产生。


# execute()函数本身就有接受SQL语句变量的参数位，只要正确的使用（直白一点就是：使用”逗号”，而不是”百分号”）就可以对传入的值进行correctly转义，从而避免SQL注入的发生。

# This is the qmark style:
# 1 cur.execute("insert into people values (?, ?)", (who, age))

# And this is the named style:
# 1 cur.execute("select * from people where name_last=:who and age=:age", {"who": who, "age": age})

# And 这个是模糊查询
# 1 conditions = {"name": "ming", "age": 18, "gender": "male"}
# 2 select_sql = "select * from people where name like concat('%', :name, '%') and age >= :age and gender = :gender"
# 3 cur.execute(select_sql, conditions)