首页 / PYTHON / 使用MySQLdb在Python中执行这样的SQL查询是否安全？

使用MySQLdb在Python中执行这样的SQL查询是否安全？

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了使用MySQLdb在Python中执行这样的SQL查询是否安全？，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1470字，纯文字阅读大概需要3分钟。

内容图文

我注意到大多数消息来源说在Python中执行SQL语句的最佳实践是这样的：

cursor.execute( 'select * from coworkers where name = :1 and clue > :2', [ name, clue_threshold ] )

其他消息来源说

cursor.execute( "select * from coworkers where name = %s and clue > %s", ( name, clue_threshold ) )

我觉得非常相似.

无论如何,我一直在做的是创建一个字典并存储值.例如,初始字典biz_info如下所示：

biz_info = {
    'business'     : None,
    'name'         : None,
    'neighborhood' : None,
    'address'      : None,
    'city'         : None,
    'state'        : None,
    'zip_code'     : None,
    'latitude'     : None,
    'longitude'    : None,
    'phone'        : None,
    'url'          : None,
    'yelp_url'     : None,
}

然后我像这样执行SQL语句

execute_sql( cur, "insert into " + TABLE_BIZ_NAME + """ values (
                   NULL,
                   %(name)s,
                   %(neighborhood)s,
                   %(address)s,
                   %(city)s,
                   %(state)s,
                   %(zip_code)s,
                   %(latitude)s,
                   %(longitude)s,
                   %(phone)s,
                   %(url)s,
                   %(yelp_url)s,
                   NULL
                   )"""
                   , biz_info )

这样可以安全地防止sql注入吗？我想使用词典来存储信息,因为它更容易管理.

说实话,我甚至不完全确定在参数化查询中使用％,％s,％d和％()s之间的区别是什么.基本上我所知道的就是不使用

cursor.execute( "select * from coworkers where name = '%s' and clue > %d" % ( name, clue_threshold ) )

解决方法:

用于将参数传递给sql命令字符串的方式取决于数据库(例如,sqlite使用？).

根据MySQLdb documentation,您可以使用paramstyle参数来设置格式化字符串(格式或pyformat)的首选方式.

您的问题中的第一个示例似乎不受支持.无论如何,我会说,只要你不像上一个例子那样格式化整个字符串,你就可以安全,因为可以假设查询参数将被正确转义.

内容总结

以上是互联网集市为您收集整理的使用MySQLdb在Python中执行这样的SQL查询是否安全？全部内容，希望文章能够帮你解决使用MySQLdb在Python中执行这样的SQL查询是否安全？所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/905565.html

来源：【匿名】

【上一篇】python – 如何在mysqldb中插入和选择希腊词【下一篇】浅谈PHP运行Python脚本的方法

更多 ►

【使用MySQLdb在Python中执行这样的SQL查询是否安全？】教程文章相关的互联网学习教程文章

Python安装MySQLdb【代码】

环境（1）：Centos 6.7 Python 2.6.x环境（2）：Ubuntu Python 2.7.x开始安装：环境（1）： sudo yum install mysqldb-python 环境（2）： sudo apt-get install python-mysqldb本文出自 “启思·朝圣者” 博客，请务必保留此出处http://dearch.blog.51cto.com/10423918/1789296原文：http://dearch.blog.51cto.com/10423918/1789296

Python 的 MySQLdb 模块

import MySQLdbtry: conn = MySQLdb.connect(host=‘‘,user=‘‘,passwd=‘‘,db=‘‘,port=) cur = conn.cursor() conn.select_db(‘db_name‘) value = [1,‘colben‘] cur.execute(‘insert into test values(%s,%s)‘,value) values = [(1,‘colben‘),(2,‘shelly‘)] cur.executemany(‘insert into test values(%s,%s)‘,values) cur.fetchall() cur.fetchmany(size) cur.fetchone() con...

Python3.4下安装pip和MySQLdb

想用pyhton3.4做数据分析，pip和MySQLdb是必要的，一个便于安装常用模块，一个用来操作数据库。当时安装这两个模块时，由于没有人指导，花了很多的时间才安装好。安装pip时，按照网上的教程，先在链接https://pypi.python.org/pypi/pip里下载了pip8.1，按照常规方法，解压后执行python setup.py install。发现报错了“ImportError：No module named ‘pip’ ”，也不知道是什么情况，到处找资料，还是没哟解决了。最后只好试试把安...

PYTHON -MYSQLDB安装遇到的问题和解决办法

目前下载的mysqldb在window下没有exe安装包了，只有源码。使用python setup.py install 命令安装，报错如下：异常信息如下：F:\devtools\MySQL-python-1.2.3>pythonsetup.py buildTraceback (most recent call last): File "setup.py", line 15, in <module> metadata, options = get_config() File "F:\devtools\MySQL-python-1.2.3\setup_windows.py", line7, in get_config serverKey = _winreg.OpenKey(_winreg.HKEY_LOCAL...

python2.7安装MySQLdb【代码】

安装MySQLdb遇到的问题。mac版本号：10.11.6执行 python2.7 setup.py build报错：urllib2.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)>错误代码是590网上查到的资料都是说mac电脑同时存在很多个版本的python造成的，有的也说是os系统造成的。验证阶段：1.直接使用python setup.py build，没有问题，直接运行成功了。排除os系统问题2.在网上搜到的原因是ssl验证的问题，那么...

python中mysqldb的用法

1.引入MySQLdb库 import MySQLdb 2.和数据库建立连接 conn=MySQLdb.connect(host="localhost",user="root",passwd="<mysql设置的密码>",db="<database_name>",charset="utf8") 提供的connect方法用来和数据库建立连接,接收数个参数,返回连接对象. 比较常用的参数包括 host:数据库主机名.默认是用本地主机. user:数据库登陆名.默认是当前用户. passwd:数据库登陆的秘密.默认为空. db:要使用的数据库名.没有默认值. port:MySQL服务使...

python下的MySQLdb使用【图】

python下的MySQLdb使用3.执行sql语句和接收返回值 cursor=conn.cursor() n=cursor.execute(sql,param) 首先,我们用使用连接对象获得一个cursor对象,接下来,我们会使用cursor提供的方法来进行工作.这些方法包括两大类:1.执行命令,2.接收返回值 cursor用来执行命令的方法: callproc(self, procname, args):用来执行存储过程,接收的参数为存储过程名和参数列表,返回值为受影响的行数 execute(self, query, args):执行单条sql语句,接收...

python MySQLdb连接mysql失败【代码】

Traceback (most recent call last): File "./test_db.py", line 12, in < module> db=‘mysite‘) File "build/bdist.linux-x86_64/egg/MySQLdb/__init__.py", line 81, in Connect File "build/bdist.linux-x86_64/egg/MySQLdb/connections.py", line 187, in __init__ _mysql_exceptions.OperationalError: (2002, "Can‘t connect to local MySQL server through socket ‘/var/lib/mysql/mysql.sock‘ (2)") 这里...

Python下的Mysql模块MySQLdb安装详解

默认情况下，MySQLdb包是没有安装的，不信？看到类似下面的代码你就信了。复制代码代码如下: -bash-3.2# /usr/local/python2.7.3/bin/python get_cnblogs_news.py Traceback (most recent call last): File "get_cnblogs_news.py", line 9, in <module> import MySQLdbImportError: No module named MySQLdb这时我们就不得不安装MySQLdb包了。安装其实也挺简单，具体步骤如下： 1、下载 MySQL for Python 地址：http://sourc...

python使用MySQLdb访问mysql数据库的方法【代码】

本文实例讲述了python使用MySQLdb访问mysql数据库的方法。分享给大家供大家参考。具体如下： #!/usr/bin/python import MySQLdb def doInsert(cursor,db):#insert# Prepare SQL query to INSERT a record into the database.sql = "UPDATE EMPLOYEE SET AGE = AGE+1 WHERE SEX = ‘%c‘" %(‘M‘)try:cursor.execute(sql)db.commit()except:db.rollback() def do_query(cursor,db):sql = "SELECT * FROM EMPLOYEE WHERE INCOM...

python 点滴记录15：MAC OS安装MySQLdb【代码】

下载安装包：http://sourceforge.net/projects/mysql-python然后解压。切换到目录下执行python setup.py install报错：EnvironmentError: mysql_config not found解决：在安装包中找到site.cfg文件，将#mysql_config =/usr/local/bin/mysql_config修改为：mysql_config =/usr/local/mysql/bin/mysql_config继续python setup.py install安装完毕后进入python交互模式：import MySQLdb报错：Reason: image not found解决：sudo ln -s...

python使用mysqldb连接数据库操作方法示例详解

# -*- coding: utf-8 -*- #mysqldb # site www.jbxue.com import time, MySQLdb #连接 conn=MySQLdb.connect(host="localhost",user="root",passwd="",db="test",charset="utf8") cursor = conn.cursor() #写入 sql = "insert into user(name,created) values(%s,%s)" param = ("aaa",int(time.time())) n = cursor.execute(sql,param) print n #更新 sql = "update user set name=%s where id=3...

python2.7之MySQLdb模块 for linux安装

1.下载:MySQL-pythonhttp://sourceforge.net/projects/mysql-python/files/mysql-python-test/1.2.3b1/MySQL-python-1.2.3b1.tar.gz/downloadtar -zxf MySQL-python-1.2.3b1.tar.gzcd MySQL-python-1.2.3b1python setup.py build==>ImportError: No module named setuptools2.下载setuptoolshttp://pypi.python.org/packages/source/s/setuptools/setuptools-0.6c8.tar.gztar -zxf setuptools-0.6c8.tar.gzcd setuptools-0.6c8pyth...

Python上安装了MySQLdb后无法运行【图】

1.针对问题：安装MySQLdb 后 impor tMySQL 报错（我的工具是Sublime Text，错误状态为 out of utf-8。。。。。于是我各种以为是Sublime工具问题）2.分析问题：可能是你的电脑为64位操作系统，https://pypi.python.org/pypi/MySQL-python/1.2.5的资源是三十二位的，所以会报错； 3.解决方案：安装64位的就行啦！ MySQLdb地址： http://www.codegood.com/downloads （tips：选择对应的操作系统和Python版本）原文：...

python-将MySQLdb数据库查询的结果缓存在内存中【代码】

我们的应用程序从数据库服务器池中获取正确的数据库服务器.因此,每个查询实际上是2个查询,它们看起来像这样： >获取正确的数据库服务器>执行查询我们这样做是为了使数据库服务器可以根据需要使联机和脱机以及负载平衡. 但是第一个查询似乎可以缓存到内存中,因此它实际上仅每5或10分钟左右一次查询数据库. 最好的方法是什么？谢谢. 编辑这是针对Pylons Web应用程序的解决方法:只需创建一个存储第一个查询并每次返回的缓存(python ...

首页 / PYTHON / 使用MySQLdb在Python中执行这样的SQL查询是否安全？

使用MySQLdb在Python中执行这样的SQL查询是否安全？

内容导读

内容图文

内容总结

内容备注

内容手机端

【使用MySQLdb在Python中执行这样的SQL查询是否安全？】教程文章相关的互联网学习教程文章

Python安装MySQLdb【代码】

Python 的 MySQLdb 模块

Python3.4下安装pip和MySQLdb

PYTHON -MYSQLDB安装遇到的问题和解决办法

python2.7安装MySQLdb【代码】

python中mysqldb的用法

python下的MySQLdb使用【图】

python MySQLdb连接mysql失败【代码】

Python下的Mysql模块MySQLdb安装详解

python使用MySQLdb访问mysql数据库的方法【代码】

python 点滴记录15：MAC OS安装MySQLdb【代码】

python使用mysqldb连接数据库操作方法示例详解

python2.7之MySQLdb模块 for linux安装

Python上安装了MySQLdb后无法运行【图】

python-将MySQLdb数据库查询的结果缓存在内存中【代码】

MYSQLDB - 相关标签

PYTHON - 相关标签

执行 - 相关标签

PYTHON - 技术教程分类

PYTHON - 最新教程

PYTHON - 最热教程