在python中防止SQL注入

前端之家收集整理的这篇文章主要介绍了在python中防止SQL注入前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在 Python中有一些代码sqlite DB中设置char(80)值.

该字符串是通过文本输入字段直接从用户获取的,并使用JSON结构中的POST方法发送回服务器.

在服务器端,我当前将字符串传递给调用sql UPDATE操作的方法.

它有效,但我知道它根本不安全.

我希望客户端无论如何都是不安全的,因此任何保护都应放在服务器端.我可以做些什么来再次保护UPDATE操作sql注入?

我正在寻找的是一个“引用”文本以便它不会混淆sql解析器的函数.我希望这样的功能存在,但找不到它.

编辑:
这是我当前设置char字段名称标签代码

def setLabel( self,userId,refId,label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",( label,refId) )
    self._db.commit()

解决方法

从文档:
con.execute("insert into person(firstname) values (?)",("Joe",))

这逃脱了“乔”,所以你想要的是

con.execute("insert into person(firstname) values (?)",(firstname_from_client,))
原文链接:https://www.f2er.com/python/185990.html

猜你在找的Python相关文章