pymysql自带解决sql注入问题的方法
'''sql注入问题的解决pymysql自带解决sql注入问题的方法'''import pymysqlconnect_db=pymysql.connect(host='localhost',port=3306,user='root',password='root',charset='utf8',database='jing_dong')cur=connect_db.cursor()select_id=input('请输入要查询的id:')# 大部分注入是由于用户利用合法的sql规则,而查询到了不应该得到的数据# 输入2 or 1试试# sql_str='''select * from goods where id=%s'''sql_str='''select * from goods where id=%(id)s''' # execute()方法的第二个参数类型为字典时# 利用execute()方法的第二个参数(类型为元祖、列表,使用%s作为占位符,字典使用%(name)s)解决SQL注入问题,利用参数化解决SQL注入的问题# cur.execute(sql_str,(select_id,))cur.execute(sql_str,{'id':select_id}) # 第二个参数为字典时result=cur.fetchall()for item in result:print(item)cur.close()connect_db.close()
