![]() |
1
2
有趣的是,“这是一个本地服务器,所以我对SQL注入不开放”的立场常常会让人们认为字符串插值比参数化查询更容易。在您的情况下,最终会导致:
所以你最终得到了一些不太清晰的东西,而且也失败了(尽管我不知道具体的错误是如何发生的)。使用参数化:
要旨 始终以正确的方式进行 . 注意,有些情况下必须使用字符串插值,例如,对于表名:
在这些情况下,如果其他人可以与代码交互,则需要采取其他预防措施。 |
![]() |
Alex · psycopg2-更新Json列时如何转义单引号? 7 年前 |
![]() |
cagta · 如何使用此python脚本避免硬编码sql表达式? 7 年前 |
![]() |
Cap Lee · executemany函数的Python语法错误 7 年前 |