Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Popraw zapytanie SQL INSERT, aby uniknąć wstrzyknięć sql

Spraw, aby Twoje zapytanie używało parametrów. Znacznie mniejsza szansa na wstrzyknięcie:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

kredyt (i więcej informacji) tutaj:Jak używać zmiennych w instrukcji SQL w Pythonie?

Również Dan Bracuk ma rację - upewnij się, że sprawdziłeś swoje parametry przed wykonaniem SQL, jeśli jeszcze tego nie zrobiłeś




  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. MySQL utf8mb4, Błędy podczas zapisywania emotikonów

  2. Nazwy zestawów MySQL ODBC 5.1 nie są dozwolone przez sterownik

  3. Mysql:Wykonaj NIE ISTNIEJE. Czy można poprawić wydajność?

  4. Jak zamienić wyrażenie regularne w MySQL?

  5. Przy imporcie MySQL:BŁĄD w wierszu 32769:Nieznane polecenie „\”