怎么在python中使用Django防止SQL注入-创新互联
本篇文章给大家分享的是有关怎么在python中使用Django防止SQL注入,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。
id = 11001 sql = """ SELECT id, name, age FROM student WHERE id = """+id+""" """ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块 pass finally: cursor.close()
一般来说写SQL语句在程序中,若有where条件一般都可能会去直接拼接,到那时这种方式容易被SQL注入,首先说明下什么是SQL的注入,简单来说就是你写的SQL被别人在页面上拼接了SQL。比如拼接1=1这种条件,如果登录接口被注入1=1那么就可以随意进入你的程序了。所以才要防止SQL的注入。
下面再来看看防止SQL的注入
id = 11001 params = [] sql = """ SELECT id, name, age FROM student WHERE id = %s """ params.append(id) cursor = connection.cursor() try: cursor.execute(sql, params) result = cursor.fetchall() for result1 in result: // 代码块 pass finally: cursor.close()
我们把直接拼接的条件变量放入集合再把集合带入执行SQL的方法,就可以避免被注入的风险,在SQL的条件中使用%s进行站位,要注意的是这个%s是有顺序的,比如说上面这个SQL后面在跟一个条件name=%s那么下面的params集合也要多加一个元素params.append(name)这个时候name是在id后面的在集合中。这样可以一一对应,但如果要是把params.append(name)写在了params.append(id)前面SQL执行就会出现id=name and name = id 的条件就乱了,甚至还会报错。
使用connection完毕之后一定要记得close,connection是django.db中的,导入不要导入错了。
以上就是怎么在python中使用Django防止SQL注入,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注创新互联成都网站设计公司行业资讯频道。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
本文名称:怎么在python中使用Django防止SQL注入-创新互联
网站地址:https://www.cdcxhl.com/article0/dijsoo.html
成都网站建设公司_创新互联,为您提供网站策划、全网营销推广、电子商务、商城网站、App开发、云服务器
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
- 企业网站改版升级要不要换网站建设公司主要看这些地方去决定 2022-05-17
- 浅析网站改版要注意哪些问题 2016-10-28
- 营销型网站改版的三大注意事项 2014-09-17
- 浅谈万仪科技网站改版的见解 2023-02-09
- 网站改版如何处理细节 2016-10-02
- 网站改版需要注意的几大问题 2022-07-09
- 【威海网站建设】网站改版需要注意哪些问题?企业网站改版方案 2014-11-27
- 解析网站改版后的优势有什么? 2021-08-30
- 成都网站建设谈企业网站改版要把哪些因素考虑到 2016-10-26
- SEO优化网站改版后排名下降了怎样办理 2014-05-15
- 网站建设公司在网站改版上需要留意的几点! 2022-05-13
- 网站改版,网站改版收费 2023-02-20