Python sqlite全文搜索中的sql注入
考虑sqlite3fts4表Python sqlite全文搜索中的sql注入,python,sqlite,full-text-search,Python,Sqlite,Full Text Search,考虑sqlite3fts4表 c.execute("CREATE VIRTUAL TABLE docs USING fts4(content)") 在txt包含字符串的sql注入中,以下内容是否安全 我不确定参数化查询是否安全,因为只有一个参数txt是字符串 c.execute("SELECT * FROM docs WHERE docs MATCH (?)",(txt,)) 是的,它不受SQL注入的影响;这就是SQL参数的作用,用于正确地转义和引用txt 如果要使用字符串格式(“…
c.execute("CREATE VIRTUAL TABLE docs USING fts4(content)")
在txt包含字符串的sql注入中,以下内容是否安全
我不确定参数化查询是否安全,因为只有一个参数txt是字符串
c.execute("SELECT * FROM docs WHERE docs MATCH (?)",(txt,))
是的,它不受SQL注入的影响;这就是SQL参数的作用,用于正确地转义和引用
txt
如果要使用字符串格式(“…MATCH(“%s”)%txt
或“…MATCH(“{}”)”.format(txt)
,那么您将打开一个SQL注入向量,因为您不会在txt
中转义元字符