V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  lilian57  ›  全部回复第 1 页 / 共 1 页
回复总数  2
2013-04-15 11:46:10 +08:00
回复了 nichan 创建的主题 Tornado Tornado的防注入应该怎么做?
简单说一下
1.首先要理解为什么能防止sql注入:参数化查询,sql能重用查询计划(有助于提高性能)。而表名是不能参数化查询的
2.如果你用的sql模块的paramstyle不是'format', 'pyformat',也就是你的sql 形式是"SELECT * FROM user_info WHERE email = ?" 之类的你会更好的理解代码为什么是这样的。
3.自定义表名的时候应该先拼接表名(因为表名是安全的),再参数化查询(用户输入条件不安全)。不建议转义或过滤特殊字符。 cursor.execute("SELECT * FROM %s WHERE email = ?" % user_info, youremail) 或者 cursor.execute("SELECT * FROM %s WHERE email = %%s" % user_info, youremail)
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3366 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 15ms · UTC 11:23 · PVG 19:23 · LAX 03:23 · JFK 06:23
Developed with CodeLauncher
♥ Do have faith in what you're doing.