Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我有一个JSON对象,其中包含一组“keyX”和相应的“value”
data = {
"key1": 10,
"key2": 20,
...
}
我需要将值写入数据库的“keyX”列中。 不幸的是,不能像这样格式化SQL查询:
for key in data.keys():
cur.execute('UPDATE table SET ?=? WHERE identifier=?;', (key, data[key], identifier))
因此,我现在是这样解决的:
for key in data.keys():
cur.execute('UPDATE table SET ' + key + '=? WHERE identifier=?;', (data[key], identifier))
这工作得很好,但SQL查询不应基于字符串构造。 在这种特定情况下,密钥不是由用户设置的,因此不可能由用户进行SQL注入
如果没有基于字符串的查询构造,是否可以更好地解决这个问题
Tags: key字符串inforexecutesqldatatable
热门问题
- 当用户用PYTHON设置一个或一个不带值的URL时,他们怎么能输入一个/a的代码呢?
- 当用户登录到站点时,如何显示不同的导航栏
- 当用户登录时,在Flask中向用户显示处理结果
- 当用户的Flask会话结束时,我如何从Redis后端中移除所有Celery结果?
- 当用户的Okta配置文件字段当前为blan时,更新该字段
- 当用户的付款逾期2天时,从Django模型检索数据
- 当用户的消息以问号结尾时,如何让机器人说些什么?
- 当用户的系统上可能也安装了Python 2.7时,如何在用户的系统上运行Python 3脚本?
- 当用户确定打印数量时,使用Matplotlib打印动画
- 当用户离开时是否可以删除整个网页?
- 当用户给出一个单词时如何打印?
- 当用户继续更改TKin中的值(使用trace方法)时,使用Entry并更新输入的条目
- 当用户编辑表单字段时,从Django时间字段中删除秒数
- 当用户被更改时,消息不会来自web套接字
- 当用户访问表单时,如何使表单为只读,而不具有更改权限
- 当用户试图更改对象的值时,使用描述符类引发RuntimeError
- 当用户调整GUI的大小时,是否有方法更改GUI内容的大小?
- 当用户调整风的大小时,pythontkinter小部件的大小会不均匀
- 当用户购买某个类别时,是否查找其他类别的销售?
- 当用户转到上一页时,Django和芹菜插入操作
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
不能为查询的结构部分设置占位符,只能为值应该位于的插槽设置占位符
那是故意的。占位符应该保护SQL的完整性,使其不受恶意创建的值的影响,即防止SQL注入攻击。如果可以从动态输入设置查询的任意部分,占位符将无法再执行此操作
列名与
SELECT关键字一样是SQL的结构部分。您需要使用字符串插值使其成为动态的Formatted strings让这变得很自然:不过,这是价值观的一条规则。字符串插值在这里也会起作用,当您已经知道正在处理的数据时,它甚至不会带来太大的风险,但这是一个坏习惯,最终您会多次使用该快捷方式。尽可能使用占位符
对。如果只使用受信任的部分,则可以安全地使SQL结构的部分成为动态的。占位符用于防止不可信的输入
相关问题 更多 >
编程相关推荐