我有一个原始SQL要在SQLAlchemy中执行,可选参数来自查询字符串。在
我做了一个函数,把句子构建成where子句:
def queryParams(self, params):
params = urllib.parse.parse_qs(params)
query = ""
for (key, val) in params.items():
for value in val:
if(re.match("/(\d+(\.\d+)?)/", value) != False or (value == "false" or value == "true")):
query += ' AND ' + key + ' = ' + value
else:
query += ' AND ' + key + ' = ' + "'" + value + "'"
return query
当我需要一个SQL注入的时候,我不需要执行一个SQL的问题。在
^{pr2}$如何使用准备好的语句使用可选参数?在
感谢前进!在
下面是一个简化的示例,说明您可以做什么:
使用^{} 处理引用保留字和混合大小写的操作,以及转义列名中的坏字符,但是您仍然应该可能使用白名单。比较生成一个二进制SQL表达式对象,其绑定参数为
^{pr2}$val
。您可以组合Core constructs with text fragments以生成查询:相关问题 更多 >
编程相关推荐