那些遇到过的问题

Python 准备好的语句是否容易受到 SQL 注入攻击

Bar*_*nka 2 python

我开始编写一个与数据库一起使用的 Python 应用程序。阅读有关准备好的陈述时,我发现了应该如何编写它们:

...
strSQL = "select * from myTable where aField = $s" % (aValue)
cursor.execute(strSQL)
...
Run Code Online (Sandbox Code Playgroud)

我的问题是:这是否容易受到 SQL 注入攻击?如果是这样,我该如何预防?

谢谢

NPE*_*NPE 5

您使用的是字符串格式化运算符而不是绑定的 SQL 参数,因此您的代码确实面临 SQL 注入的风险(一旦修复了$s,我认为这是一个拼写错误)。

正确的形式是:

strSQL = "select * from myTable where aField = %s"
cursor.execute(strSQL, [aValue])
Run Code Online (Sandbox Code Playgroud)

  • OP 甚至没有使用字符串格式,因为使用的“模板”是“$s”而不是“%s”。 (2认同)

归档时间:

查看次数:

961 次

最近记录:

13 年 前
这个Python代码是否容易受到SQL注入攻击?(sqlite3的) 12
这个Python代码是否容易受到SQL注入攻击?(sqlite3的) 12
更多相关链接
相关归档
为什么要使用def main()? 545
如何防止Python打印添加换行符或空格? 232
我在python中遇到Key错误 174
将相同的字符串附加到Python中的字符串列表中 160
Python中常见的pickle用例 127
如何使用初始化程序来设置我的多进程池? 51
在Python中匹配组 45
点上的iPython代码完成/智能感知可能吗? 45
告诉Python将.txt文件保存到Windows和Mac上的某个目录 42
理论上阿克曼函数可以优化吗? 42
难疑归档
我是否施放了malloc的结果? 2318
如何在JavaScript中检查"undefined"? 2294
有没有办法对字符串进行子串? 1995
检索HTML元素的位置(X,Y) 1418
修复一个Git分离的头? 1318
从已从磁盘中删除的Git存储库中删除多个文件 1294
如何在find中排除目录.命令 1250
URL.Combine的URL? 1186
type()和isinstance()之间有什么区别? 1163
网格布局上的手势检测 1076