如何防止sql注入_flask防止sql注入

现象

实现一个根据指定条件检索数据库数据表功能，我们想到的是select语句，其中%s占位符接收参数，但是这样的一条语句直接被执行很容易造成sql注入。why？执行的语句没有对“条件”进行校验！

验证是否有可能被sql注入：在传递的参数的后面加上' or 1=1 or '1

解决

方案：以sql自有校验功能进行参数的检查
语法：以传参的形式执行,如下图：

那么下面关注即sql语句该怎么写？，参数类型是什么？

根据执行sql的方法的不同(sql有哪些执行方式:见https://blog.csdn.net/weixin_49278803/article/details/114069576)，与之对应的sql语句也不一样(差异点即占位符的不同)

1、flask-sqlalchemy方式
占位符::参数
参数类型：字典{"参数"："value"}
写法：

sql = "select * from user where username=:username"
1

parma = {"username": "张三"}
1

2、游标cursor方式
占位符::参数
参数类型：元组("参数1"，"参数2"...) 或 列表["参数1","参数2"...]
写法：

sql = "select * from user where username=%s"
1

parma = ["张三"] 或 parma = ("张三",)
1