热门标签
热门文章
- 1【高阶篇】3.7 Redis之底层数据结构跳表(SkipList)_redis底层跳表
- 244K star!2023最火的前端开源项目_2023 最多stark ui库
- 3Linux一句话精彩问答_apxshhb
- 4写代码会用到哪些常用的软件_写代码的软件
- 5obsidian 使用 git 进行多终端同步
- 6Git合并Commit_怎样把代码和已存在的commit关联
- 7Mac程序坞中软件删除出现残留“?”图标无法删除解决方法:_mac启动台图标删除不了怎么办
- 8关于编程,关于JAVA,关于安卓大咖们,你们编写安卓程序改用Kotlin了吗?_安卓开发已经全面转向kotlin了吗
- 9RegExp 魔法阵与 Cookie 记忆宫殿:JavaScript 中的秘密宝藏
- 10疲劳驾驶检测系统-YOLOv8/YOLOv7/YOLOv5-疲劳检测、分心检测、玩手机、抽烟、喝水检测(毕业设计)_pycharm疲劳驾驶检测
当前位置: article > 正文
python中如何防止sql注入_django防sql注入
作者:羊村懒王 | 2024-05-04 09:30:35
赞
踩
django防sql注入
python访问数据库的底层库很多,以pymysql为例, 它在执行sql前,会对sql中的特殊字符进行转义,如
- 字符转义
def escape_string(value, mapping=None):
"""escape_string escapes *value* but not surround it with quotes.
Value should be bytes or unicode.
"""
if isinstance(value, unicode):
return _escape_unicode(value)
assert isinstance(value, (bytes, bytearray))
value = value.replace('\\', '\\\\')
value = value.replace('\0', '\\0')
value = value.replace('\n', '\\n')
value = value.replace('\r', '\\r')
value = value.replace('\032', '\\Z')
value = value.replace("'", "\\'")
value = value.replace('"', '\\"')
return value
- 执行sql的正确方法,不要在sql中拼接参数,字符转义只会针对参数args
# query作为sql模板,args为将要传入的参数
execute(query, args=None)- django/sqlalchemy
- sql注入检测工具
sqlmap
《寿康宝鉴》有声书
寿康宝鉴百话有声书(mp3)
百度网盘
https://pan.baidu.com/s/1rs5k7RTB9DxgdCuG-mSzog 密码 9lf1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/羊村懒王/article/detail/533807
推荐阅读
相关标签
