python 防止sql注入

python 防止sql注入

在Python中防止SQL注入有以下几种实现方法：

1、使用参数化查询（Prepared Statements）：这是最常用和推荐的方法。使用参数化查询可以将用户输入的数据与SQL语句进行分离，从而避免将用户输入内容作为SQL查询的一部分，从而防止SQL注入攻击。大部分数据库Python库都支持参数化查询。以MySQL为例，可以使用mysql-connector-python库来执行参数化查询。示例代码如下：

import mysql.connector
 
conn = mysql.connector.connect(user='user', password='password', host='localhost', database='database')
cursor = conn.cursor()
 
name = input("Enter name:")
age = input("Enter age:")
 
sql = "INSERT INTO users (name, age) VALUES (%s, %s)"
val = (name, age)
cursor.execute(sql, val)
 
conn.commit()
cursor.close()
conn.close()

2、使用ORM框架：对象关系映射（ORM）框架如SQLAlchemy可以自动处理参数绑定，从而有效防止SQL注入攻击。使用ORM框架可以直接操作数据库表对应的对象，ORM框架会自动执行参数化查询。示例代码如下：

from sqlalchemy import create_engine, Column, Integer, String
from sqlalchemy.orm import sessionmaker
from sqlalchemy.ext.declarative import declarative_base
 
engine = create_engine('mysql+mysqlconnector://user:password@localhost/database')
Session = sessionmaker(bind=engine)
Base = declarative_base()
 
class User(Base):
    __tablename__ = 'users'
 
    id = Column(Integer, primary_key=True)
    name = Column(String(50))
    age = Column(Integer)
 
session = Session()
 
name = input("Enter name:")
age = input("Enter age:")
 
user = User(name=name, age=age)
session.add(user)
session.commit()

3、使用数据库自带的转义函数：一些数据库提供了转义函数来处理特殊字符，将它们转换为安全字符。例如，MySQL提供了mysql.escape_string()函数。使用这些函数可以在执行SQL查询之前对用户输入进行转义。示例代码如下：

import mysql.connector
 
conn = mysql.connector.connect(user='user', password='password', host='localhost', database='database')
cursor = conn.cursor()
 
name = input("Enter name:")
age = input("Enter age:")
 
name = mysql.connector.escape_string(name)
age = mysql.connector.escape_string(age)
 
sql = f"INSERT INTO users (name, age) VALUES ('{name}', '{age}')"
cursor.execute(sql)
 
conn.commit()
cursor.close()
conn.close()

请注意，以上是三种常用的防止SQL注入的方法，但并不能保证绝对安全。在处理用户输入时，始终应该保持警惕，遵循最佳安全实践，进行输入验证和过滤。另外，确保数据库连接的访问权限受到限制，并对数据库进行定期维护和更新以确保安全性。