擅长:python、mysql、java
<p>当使用带参数的参数化语句时,MySQLdb将转义这些参数,并使用Python字符串格式将这些参数重新插入参数化语句中。然后将一个字符串语句发送到服务器。
您依赖MySQLdb正确转义参数的能力来防止SQL注入:</p>
<p>MySQLdb公司/光标.py公司名称:</p>
<pre><code>def execute(self, query, args=None):
...
if args is not None:
query = query % db.literal(args)
</code></pre>
<p>相反,<a href="http://packages.python.org/oursql/tutorial.html#executing-queries" rel="nofollow">oursql sends queries and data to the server completely separately</a>。
它不依赖于转义数据。这应该更安全。在</p>