我在Python中使用MySQLdb。我被告知要正确创建SQL语句并避免SQL注入攻击,我应该编写如下代码:
sql = "insert into table VALUES ( %s, %s, %s )"
args = var1, var2, var3
cursor.execute( sql, args )
或:
cursor.execute( "insert into table VALUES ( %s, %s, %s )", var1, var2, var3 )
或者甚至这个(这可能是错误的):
header = ( 'id', 'first_name', 'last_name' )
values = ( '12', 'bob' , 'smith' )
cursor.execute( "insert into table ( %s ) values ( %s )", ( header + values ) )
当我用PHP编程时,我通常会将整个SQL语句存储为一个长字符串,然后执行该字符串。类似于(使用PostgreSQL):
$id = db_prep_string( pg_escape_string( $id ) );
$first_name = db_prep_string( pg_escape_string( $first_name ) );
$last_name = db_prep_string( pg_escape_string( $last_name ) );
$query = "insert into table ( id, first_name, last_name ) values ( $id, $first_name, $last_name )"
$result = pg_query( $con, $query );
$retval = pg_fetch_array( $result );
其中db_prep_string
是
function db_prep_string( $value ) {
if(
!isset( $value ) ||
(is_null($value)) ||
preg_match( '/^\s+$/', $value ) ||
( $value == '' )
) {
$value = 'null';
}
else {
$value = "'$value'";
}
return $value;
}
然后为了调试,我可以简单地回显$query
来查看整个SQL语句。我能用Python做些类似的事情吗?换句话说,我是否可以将safeSQL语句存储为字符串,打印出来进行调试,然后执行它?
我想做如下事情:
id = prevent_sql_injection_string( id )
first_name = prevent_sql_injection_string( first_name )
last_name = prevent_sql_injection_string( last_name )
sql = "insert into table ( id, first_name, last_name ) values "
sql += id + ", "
sql += first_name + ", "
sql += last_name
print sql #for debugging
cursor.execute( sql )
如果不是,那么如何在Python中查看SQL语句的全部内容?
附加问题:如何使用Python在SQL语句中输入空值?
目前没有回答
相关问题 更多 >
编程相关推荐