2
我开始编写一个与数据库一起工作的Python应用程序。阅读关于准备好的语句,我发现我应该如何写它们:Python准备好的语句容易受到SQL注入的影响
...
strSQL = "select * from myTable where aField = $s" % (aValue)
cursor.execute(strSQL)
...
我的问题是:这不容易SQL注入?如果是这样,我该如何预防呢?
谢谢
A
回答
4
您正在使用string formatting operator代替bound SQL parameters,所以你的代码确实是在SQL注入的风险(一旦你解决$s,这我认为是笔误)。
正确的形式是:
strSQL = "select * from myTable where aField = %s"
cursor.execute(strSQL, [aValue])
1
你拥有它,绝对是这样!这里是你如何将“帮助”绕过SQL注入
strSQL = "select * from myTable where aField = %s"
cursor.execute(strSQL, [aValue])
传递值列表/元组上的光标,第二个参数甚至没有使用字符串格式化执行
相关问题
- 1. 此LINQ语句是否容易受到SQL注入的影响?
- 2. 准备好的语句和SQL注入
- 3. mysqli准备好的语句是否完全免受mysql注入?
- 4. 这个MySQL查询如何容易受到SQL注入的影响?
- 5. 这个Rails 3搜索容易受到SQL注入的影响吗?
- 6. 准备语句和SQL注入
- 7. 我容易受到SQL注入吗?
- 8. 准备好的语句以及它们如何影响查询
- 9. PDO准备语句如何帮助防止SQL易受攻击的语句?
- 10. Python的raw_input()容易受到缓冲区溢出的影响吗?
- 11. 准备好的语句加入Java
- 12. MySQLi准备好的语句?
- 13. MySQL准备好的语句
- 14. 准备好的MySQLi语句
- 15. 这个脚本容易受到LFI(本地文件注入)的影响吗?
- 16. PHP在准备好的语句中准备了语句
- 17. 动态SQL更容易受到SQL注入/黑客入侵吗?
- 18. PHP:准备好的语句(新手),只需要确认一下SQL注入
- 19. 准备好的语句语法错误
- 20. 此处准备的语句是否防止SQL注入
- 21. 无法使用准备好的语句通过交易,从PHP?
- 22. 参数化的java持久性查询容易受到sql注入的影响吗?
- 23. SQL Server 2008表值是否容易受到SQL注入攻击?
- 24. 特定于域的cookie是否容易受到CSRF的影响?
- 25. JDBC准备好的语句/参考准备在另一个准备好的语句
- 26. 已准备好的语句中的SQLITE_MISUSE
- 27. 已准备好的语句的函数
- 28. 准备好的语句嵌套在另一个准备的语句
- 29. 准备语句会防止SQL注入攻击吗?
- 30. SQL准备语句。 PHP
的OP,作为“模板'是'$ s'而不是'%s'。 – 2013-04-25 18:37:30
谢谢你的回答。事实上,我正在使用'$ s'搞砸了。这是我在Python中的第一步,我试图在他们变得严肃之前纠正我的错误。 – Barranka 2013-04-25 19:11:05