什么是SQL注入?

  所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

  sql注入实例: http://www.runoob.com/mysql/mysql-sql-injection.html

1 在python代码中,参数化处理数据

 sql = "INSERT INTO USER(NAME,PASSWORD) VALUES(%s,%s)"

  cur.execute(sql, ('小黑', '123456'))

2在mysql服务端,通过mysql的预处理语句:

  预处理语法:

  

PREPARE stmt_name FROM preparable_stmt;

EXECUTE stmt_name [USING @var_name [, @var_name] ...];

{DEALLOCATE | DROP} PREPARE stmt_name;

  实例:

mysql> create  procedure p9(in tpl varchar(255), in aaa int)
    -> begin
    -> set @xoo=tpl;
    -> prepare ppp from @xoo;
    -> set @xo=aaa;
    -> execute ppp using @xo;
    -> end;
    -> //
call p9 ('select * from 表名 where 列名 > ?',2)

  

    

03-09 14:28