python中如何防止sql注入

本文轉載自查看原文 2018-06-10 08:34 1019 docker

python訪問數據庫的底層庫很多，以pymysql為例, 它在執行sql前，會對sql中的特殊字符進行轉義，如

字符轉義

def escape_string(value, mapping=None):
    """escape_string escapes *value* but not surround it with quotes.


    Value should be bytes or unicode.
    """
    if isinstance(value, unicode):
        return _escape_unicode(value)
    assert isinstance(value, (bytes, bytearray))
    value = value.replace('\\', '\\\\')
    value = value.replace('\0', '\\0')
    value = value.replace('\n', '\\n')
    value = value.replace('\r', '\\r')
    value = value.replace('\032', '\\Z')
    value = value.replace("'", "\\'")
    value = value.replace('"', '\\"')
    return value

執行sql的正確方法，不要在sql中拼接參數，字符轉義只會針對參數args

# query作為sql模板，args為將要傳入的參數
execute(query, args=None)

django/sqlalchemy

orm框架都是使用pymysql/MySQL-python等庫，並且都使用execute(query,args)調用，將sql與參數分開傳入。

sql注入檢測工具

sqlmap

《壽康寶鑒》有聲書

http://v.youku.com/v_show/id_XMzYxMzA4NDY2MA

壽康寶鑒百話有聲書(mp3)

百度網盤 https://pan.baidu.com/s/1rs5k7RTB9DxgdCuG-mSzog 密碼 9lf1

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Python中防止sql注入的方法詳解 Python防止sql注入什么是SQL注入以及mybatis中#{}為什么能防止SQL注入而${}為什么不能防止SQL注入什么是SQL注入以及mybatis中#{}為什么能防止SQL注入而${}為什么不能防止SQL注入 python防止sql注入的方法 EF中防止sql注入 mysql中防止sql注入 Python預編譯語句防止SQL注入 web開發中防止SQL注入 web開發中防止SQL注入