Python 用_mysql修复SQL注入
我刚刚发现我使用mysql的方式导致了一个重大的SQL注入问题 我当前的代码如下所示:Python 用_mysql修复SQL注入,python,mysql,sql,flask,sql-injection,Python,Mysql,Sql,Flask,Sql Injection,我刚刚发现我使用mysql的方式导致了一个重大的SQL注入问题 我当前的代码如下所示: db = _mysql.connect('', 'user', 'pass', 'db') query = """SELECT * FROM stuff WHERE thing="{0}" """.format(user_input) cur.query(query) 我做错了什么?我如何修复它以确保安全 我尝试过使用_mysql.escape_string(),但仍然返回SQL语法错误 您可以单独使用My
db = _mysql.connect('', 'user', 'pass', 'db')
query = """SELECT * FROM stuff WHERE thing="{0}" """.format(user_input)
cur.query(query)
我做错了什么?我如何修复它以确保安全
我尝试过使用_mysql.escape_string(),但仍然返回SQL语法错误 您可以单独使用
MySQLdb
:
conn = MySQLdb.connect();
curs = conn.cursor();
curs.execute("SELECT * FROM stuff WHERE thing = %s", (user_input));
如果您想坚持使用\uMySQL
,请使用db.escape\uString(用户输入)
文档:您可以自己使用
MySQLdb
:
conn = MySQLdb.connect();
curs = conn.cursor();
curs.execute("SELECT * FROM stuff WHERE thing = %s", (user_input));
如果您想坚持使用\uMySQL
,请使用db.escape\uString(用户输入)
文档:通过提供一个方便的参考资料
您还可以从中找到一些sql注入示例以及缓解问题的可能方法 通过提供一个方便的参考
您还可以从中找到一些sql注入示例以及缓解问题的可能方法 嗯。。。你需要自我教育。这似乎是可接受的源:。SQL注入漏洞与语法错误无关。请澄清你的确切问题。好吧。。。你需要自我教育。这似乎是可接受的源:。SQL注入漏洞与语法错误无关。请澄清您的确切问题。我决定只使用MongoDB。我决定只使用MongoDB。