往mysql中插入 字符串数据时 包含一些特殊字符时的处理,防止sql注入

最新推荐文章于 2024-05-24 10:37:23 发布
最新推荐文章于 2024-05-24 10:37:23 发布
阅读量2.4w 收藏 5
点赞数 4
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy13270867781/article/details/82466232
版权 
比如:address字符串中 包含 \  '  " 时候 在拼接sql语句时,必须在这些字符前加上转义字符 \ 才可以不影响sql语句,可以用字符串处理函数将对应的字符替换成带有转义的字符即可
address = address.replace("\\","\\\\")
address = address.replace("'","\\'")
address = address.replace('"','\\"')

特殊的字符可能会引起sql的注入,我们应该尽量使用mysql提供的接口去传参,而不是 自己去拼接sql语句
例如:mysql官方手册api 就解释的很清处
https://dev.mysql.com/doc/connector-python/en/connector-python-reference.html
比如已python为例:

# 插入单条数据
insert_stmt = (
  "INSERT INTO employees (emp_no, first_name, last_name, hire_date) "
  "VALUES (%s, %s, %s, %s)"
)
data = (2, 'Jane', 'Doe', datetime.date(2012, 3, 23))
cursor.execute(insert_stmt, data)

# 字典方式
select_stmt = "SELECT * FROM employees WHERE emp_no = %(emp_no)s"
cursor.execute(select_stmt, { 'emp_no': 2 })

data = [
  ('Jane', date(2005, 2, 12)),
  ('Joe', date(2006, 5, 23)),
  ('John', date(2010, 10, 3)),
]
# 插入多条数据
stmt = "INSERT INTO employees (first_name, hire_date) VALUES (%s, %s)"
cursor.executemany(stmt, data)

# 实际是这样的结果
#INSERT INTO employees (first_name, hire_date)
#VALUES ('Jane', '2005-02-12'), ('Joe', '2006-05-23'), ('John', '2010-10-03')
红鲤鱼与绿鲤鱼与驴__
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mysql 导入 特殊字符_MySQL导出/导入会丢失特殊字符
weixin_39939303的博客
01-19 416
我正在尝试将MySQL 3.23.58数据库移动到运行5.5.19的其他服务器上.旧的指定了latin1编码,据我所知,基础数据确实是老实说latin1.我尝试了很多东西,主要是:>使用mysqldump和latin1编码标志从终端导出.>在vim编辑以将“TYPE = InnoDB”更改为“ENGINE = InnoDB”以获得MySQL 5的兼容性.>从终端导入新服务器.浏...
SQL 在INSERT特殊字符处理
pokerwen的专栏
03-01 1438
转载:http://bbs2.chinaunix.net/archiver/tid-617054.html 如何向数据插入特殊符号。 sql="insert into webPageInfo (webAddrees,content) values('"+thisURL+"','"+Webtext+"')";Webtext是网页的全文,通过读URL文件得到字符串,它必然包含( '...
mysql插入 字符串数据 包含一些特殊字符处理
hunheidaode的博客
02-25 7622
比如:address字符串 包含 \  '  " 候 在拼接sql语句,必须在这些字符前加上转义字符 \ 才可以不影响sql语句,可以用字符串处理函数将对应的字符替换成带有转义的字符即可 address = address.replace("\\","\\\\") address = address.replace("'","\\'") address = address.replace('...
mysql插入递增字符串编号HS00001,HS00002
最新发布
邪小新的博客
05-24 115
【代码】mysql插入递增字符串编号HS00001,HS00002。
日常刷题1
LJP1924804579的博客
12-23 151
题目 思路: ①由于字符串只存在小写字符,则创建一个长度为26的数组保存每个字符出现的个数 ②遍历字符串s,与计数数组进行比较,寻找第一个出现在字符串s且计数为1的字符,返回其下表 否则,返回-1 class Solution { public: int firstUniqChar(string s) { int i = 0; int *arr = new int[26](); while(s[i]!='\0') {
php+mysql防注入字符串过滤_php过滤特殊字符sql防注入代码
weixin_36329414的博客
02-28 329
例子,在php特殊字符过滤,防sql注入。复制代码 代码示例://方法一//过滤',",sql语名addslashes();//方法二,去除所有html标签strip_tags();//方法三过滤可能产生代码function php_sava($str){$farr = array("/s+/","/]*?)>/isU","/(]*)on[a-zA-Z]+s*=([^>]*>...
python3 插入 mysql 内容带有特殊字符处理
shykevin的博客
11-27 2475
一、概述 插入mysql,如果内容中有引号等特殊符号,会报错,简单的解决方法可以用反斜杠转义,还可以用 pymysql 的方法(pymysql.escape_string)自动转义: 使用举例: c = '''  北京间9月20日晚间9点半,智能供应链服务供应商百世集团将在<a class="wt_article_link" "WeiboCard.show(212597343...
过滤特殊、不合法字符 防止sql注入
可控的事情要谨慎,不可控的事情要乐观。
04-16 1885
1.工具类 public class StringFilterUtil { // 过滤特殊字符 public static String StringFilter(String str){ String regEx="[`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:...
MySQL数据入库特殊字符处理详解
12-15
在一个字符串,如果某个序列具有特殊的含义,每个序列以反斜线符号 (“”)开头,称为转义字符MySQL 识别下列转义字符: 0 一个 ASCII 0 (NUL) 字符。 ‘ 一个 ASCII 39 单引号 (“’”) 字符。 ” 一个 ASCII ...
mysql 如何插入随机字符串数据的实现方法
09-10
MySQL插入随机字符串数据通常用于测试环境,模拟真实数据以验证数据库操作或性能测试。以下是如何在MySQL实现这一目标的详细步骤: 首先,我们需要创建一个存储数据的表。例如,创建一个名为`tables_a`的表...
Mysql字符串字段判断是否包含某个字符串的2种方法
12-15
假设有个表: 代码如下: CREATE TABLE users(id int(6) NOT NULL AUTO_INCREMENT,PRIMARY KEY (id),user_name VARCHAR(20) NOT NULL,emails VARCHAR(50) NOT NULL); 初始化表,并添加些记录。...
MySQL用户密码特殊字符叹号(!)的妙用
12-15
使用叹号(!)禁止用户终端进入的一个方法。 代码如下: mysql> grant all privileges on wubx.* to ‘wubx’@’172.16.100.185′ identified by ‘fd52!wubx&,’; Query OK, 0 rows affected (0.00 sec) mysql>quit; #mysql -h 172.16.100.185 -u wubx -pfd52!wubx&, -bash: !wubx@,: event not found 仔细看一下,原来他把!后面的字符串做为命令执行了。又试了一个Navicat的管理端,也一样存在密码
mysql 注入 替换字符串_防止sql注入:替换危险字符
weixin_35931756的博客
01-19 580
在用户名或者密码框输入“11‘ or ’1‘ = '1”,生成的sql语句将为“selec * from userInfo where name = '11' or '1' = '1' and pwd = '11' or '1' = '1'”;该语句永远为真。为了防止sql语句的注入,提高程序的安全性。需要替换危险字符。Java代码段:public class Checkstr {public...
MySQL特殊字符
kungstriving的专栏
04-07 1595
在对MySQL数据库进行插入操作候,如果插入的字段包括 这样的字符,将会与你所写的SQL语句的    相混淆,而且在执行过程会抛出一个执行错误比如你要想数据库表插入一条地址记录,这个地址是 Youyi Road Xian City, China 你的SQL语句可能就是INSERT INTO add_table(address) VALUES (Youyi 
insert 语句特殊字符
weixin_30462049的博客
03-04 897
如果插入数据库的字符串还有单引号,需要转义处理,如插入“It'satree.”,SQL语句如下:INSERTINTOTESTTAB(FIELD1)VALUES('It''sadog.') 如果SQL中有“&”,那么后面的字符串将被作为一个变量来处理,无法正常插入数据库。如果的确需要把&字符插入数据库,如下处理: INSERTINTO...
SQLSERVER 插入 INSERT INTO 特殊字符过滤
weixin_30696427的博客
06-11 1579
/// <summary> /// 特殊字符过滤 /// </summary> /// <param name="s"></param> /// <returns></returns> private static string String2Json(string s) { return s.Re...
go 拼接mysql字符串,golang各种字符串拼接性能对比
weixin_31014835的博客
03-19 162
golang字符串拼接方法+=fmt.sprintfappendbuffer.WriteStringcopy废话不多说,直接上代码看效果package mainimport ("bytes""fmt""time")func main() {str:="chinese"city:="beijing"// 1. +=s:=time.Now()for i:=0;i<100000;i++ {str...
MySQL8 使用repalce 函数 变更字符串包含\ 特殊字符处理
zhouzhiwengang的专栏
03-02 986
本文是基于:MySQL8 使用Like更新字段包含 \, 需要使用\\\\ 进行转义查询的深入研究 在使用MySQL8 之replace 函数,变更部分字段包含特殊字符(\)之总结处理特殊字符 Like查询 (模糊查询) replace 函数 或(精准查询=) \ \\\\ \\ \n \\\\n \\n \' \\\\' \\' \'' \\\\'' \\'' \b \\\\b \\b \r .
如何使用SQL向mysql插入一个特定UNICODE码值的字符
u012918303的专栏
03-20 6671
这个字符无法通过输入法等方法输入,甚至可能根本无法在你的系统上正确显示,或者它压根就是一个不可见字符。那么如何把这样一个字符插入数据库(数据库该字段的编码已经指定为utf8)呢?一种方法是借助编程语言。python、java、objective-c等编程语言都提供了使用code point来表达一个UNICODE字符的方法。这里我们以希腊字母β来举例。这个字符的UNICODE code poin
使用 Python 语言,向 MySQL 插入 SQL 语句里面有很多 '" 特殊符号 导致 SQL 报错如何处理
06-08
在 Python MySQL 插入 SQL 语句,如果 SQL 语句含有特殊符号(如单引号、双引号等),需要对这些特殊符号进行转义,否则会导致 SQL 语句报错。 可以使用 Python 的 `MySQLdb.escape_string()` 方法来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值