如果将lamer输入直接插入到SQL查询中,则应用程序容易受到SQL注入的攻击,如下例所示:
dinossauro = request.GET['username']
sql = "SELECT * FROM user_contacts WHERE username = '%s';" % username
删除表或任何东西 - 进行查询:
INSERT INTO table (column) VALUES('`**`value'); DROP TABLE table;--`**`')
有什么办法可以防止这种情况发生?