sql注入问题及解决方案

sql注入问题

'''
利用一些语法特性 书写一些特点的语句实现固定语法
Mysql 利用的是MySQL的注释语法

日常生活中很多软件在注册的时候都不能含有特殊符号，因为怕你构造出特定的语句入侵数据库 ，不安全

因此，敏感的数据自己不要做拼接
先用%s占位 之后将需要拼接的数据交给execute方法即可
'''

#python代码结合数据库实现用户登录功能

import pymysql

conn=pymysql.connect(
    host='127.0.0.1',
    port=3306,
    user='root',
    password='',
    database='db3',
    autocommit=True,
    charset='utf8')#千万不要加-    #链接数据库
cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)#参生一个游标对象，等待命令输入,用来执行命令的

name=input('>>>')
password=input('>>>')
sql="select * from user where name='%s' and password='%s'"%(name,password)
rows=cursor.execute(sql)
if rows:
    print('登录成功')
    print(cursor.fetchall())
else:
    print('用户名或密码错误')
        

解决方案

import pymysql

conn=pymysql.connect(
    host='127.0.0.1',
    port=3306,
    user='root',
    password='',
    database='db3',
    autocommit=True,
    charset='utf8')#千万不要加-    #链接数据库
cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)#参生一个游标对象，等待命令输入,用来执行命令的

name=input('>>>')
password=input('>>>')
sql="select * from user where name=%s and password=%s"
#不要手动拼接数据，先用%s占位 之后将需要拼接的数据交给execute方法即可
print(sql)
rows=cursor.execute(sql,(name,password))#自动识别sql里面的%s，用后面元组里面的数据替换，并且过滤掉特殊符号
if rows:
    print('登录成功')
    print(cursor.fetchall())
else:
    print('用户名或密码错误')