如何使用Python中的参数正确执行MSSQL存储过程
目前,我正在以这种方式执行存储过程:如何使用Python中的参数正确执行MSSQL存储过程,python,sql-server,python-3.x,sqlalchemy,sql-injection,Python,Sql Server,Python 3.x,Sqlalchemy,Sql Injection,目前,我正在以这种方式执行存储过程: engine = sqlalchemy.create_engine(self.getSql_conn_url()) query = "exec sp_getVariablesList @City = '{0}', @Station='{1}'".format(City, Station) self.Variables = pd.read_sql_query(query, engine) 但是at被正确地注意到,这使得它对SQL注入开放。
engine = sqlalchemy.create_engine(self.getSql_conn_url())
query = "exec sp_getVariablesList @City = '{0}', @Station='{1}'".format(City, Station)
self.Variables = pd.read_sql_query(query, engine)
但是at被正确地注意到,这使得它对SQL注入开放。我尝试了不同的方法,但没有成功。那么,我应该如何将参数传递给MSSQL存储过程以消除SQL注入的风险呢?这可以通过sqlalchemy或任何其他方式实现。使用“命名”参数样式编写SQL命令文本,将其包装在sqlalchemy
text()将熊猫作为pd导入
将sqlalchemy作为sa导入
连接_uri=“mssql+pyodbc://@mssqlLocal64”
引擎=sa.创建引擎(连接uri)
#使用“命名”参数样式的SQL命令文本
sql=”“”
不计数;
设置ARITHABORT;
EXEC dbo.breaken@name=:name_param,@food=:food_param;
"""
#参数值
param_values={“name_param”:“Gord”,“food_param”:“bacon”}
#执行SQLAlchemy text()对象中包装的查询
df=pd.read\u sql\u查询(sa.text(sql),引擎,params=param\u值)
打印(df)
"""
专栏1
戈德早餐喜欢吃熏肉。
"""
text()将熊猫作为pd导入
将sqlalchemy作为sa导入
连接_uri=“mssql+pyodbc://@mssqlLocal64”
引擎=sa.创建引擎(连接uri)
#使用“命名”参数样式的SQL命令文本
sql=”“”
不计数;
设置ARITHABORT;
EXEC dbo.breaken@name=:name_param,@food=:food_param;
"""
#参数值
param_values={“name_param”:“Gord”,“food_param”:“bacon”}
#执行SQLAlchemy text()对象中包装的查询
df=pd.read\u sql\u查询(sa.text(sql),引擎,params=param\u值)
打印(df)
"""
专栏1
戈德早餐喜欢吃熏肉。
"""
paramsparams