pymysql防sql注入
1、什么事SQL注入
因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。
产生原因:SQL语句使用了动态拼接的方式。
import pymysql
conn = pymysql.connect(host="xxx", port=3306, user="xxx", passwd="xxx", db="xxx")
cursor = conn.cursor()
sql = 'delete from stu where name = "%s" and age = "%s"' % ('tom', 19)
cursor.execute(sql)
-- 假如 name = 'tom or 1=1'
-- 那么会被or短路为永远正确,会将所有 name=tom 的数据全部删除
delete from stu where name = 'tom' or 1=1 and age = 19
2、pymysql防注入
pymysql 的 execute 支持参数化 sql,通过占位符 %s 配合参数就可以实现 sql 注入问题的避免。
import pymysql
conn = pymysql.connect(host="xxx", port=3306, user="xxx", passwd="xxx", db="xxx")
cursor = conn.cursor()
sql = 'delete from stu where name = %s and age = %s'
cursor.execute(sql, ('tom', 19)) # 参数为元组格式
- execute的参数为元组格式
- 不要因为参数是其他类型而换掉 %s,pymysql 的占位符并不是 python 的通用占位符
- %s 两边不需要加引号,mysql 会自动去处理