首页
注册
登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请
登录
V2EX
›
lilian57
›
全部回复第 1 页 / 共 1 页
回复总数
2
2013-04-15 11:46:10 +08:00
回复了
nichan
创建的主题
›
Tornado
›
Tornado的防注入应该怎么做?
简单说一下
1.首先要理解为什么能防止sql注入:参数化查询,sql能重用查询计划(有助于提高性能)。而表名是不能参数化查询的
2.如果你用的sql模块的paramstyle不是'format', 'pyformat',也就是你的sql 形式是"SELECT * FROM user_info WHERE email = ?" 之类的你会更好的理解代码为什么是这样的。
3.自定义表名的时候应该先拼接表名(因为表名是安全的),再参数化查询(用户输入条件不安全)。不建议转义或过滤特殊字符。 cursor.execute("SELECT * FROM %s WHERE email = ?" % user_info, youremail) 或者 cursor.execute("SELECT * FROM %s WHERE email = %%s" % user_info, youremail)
关于
·
帮助文档
·
博客
·
API
·
FAQ
·
实用小工具
·
5410 人在线
最高记录 6679
·
Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 16ms ·
UTC 07:48
·
PVG 15:48
·
LAX 23:48
·
JFK 02:48
Developed with
CodeLauncher
♥ Do have faith in what you're doing.