Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我在读这个问题:psycopg2: insert multiple rows with one query,我发现其中有一个很好的答案,它使用cursor.mogrify来加速一系列sql插入。这让我想知道,cursor.mogrify是否成功地避开了所有的sql注入漏洞?在
Alex Riley发布的答案代码如下:
args_str = ','.join(cur.mogrify("(%s,%s,%s,%s,%s,%s,%s,%s,%s)", x) for x in tup)
cur.execute("INSERT INTO table VALUES " + args_str)
有人知道这种方法的漏洞吗?这种方法使用psycopg2的cursor.mogrify方法,然后在cursor.execute函数中使用字符串插值?在
Tags: 方法答案executesqlwithargsmultiplecursor
热门问题
- Python主导入文件
- Python主导包|添加<style>到htm
- python主循环,添加定时事件
- Python主循环+带有timeou的子循环
- Python主循环和while循环
- Python主成分分析
- Python主成分分析(PCA)
- Python主成分分析错误
- Python主控
- Python主文件__
- python主文件中的IndentationError
- Python主方法位置约定
- Python主机上的chatterbot
- Python主机名解析
- Python主机如何识别和检查python3数据结构的内容?
- Python主机文件注入器
- Python主版本升级后,自动将软件包重新安装到虚拟环境中
- Python主程序exe使用subprocess.popen调用其他程序exe(如果值传递给其他程序exe)
- Python主程序中返回主页
- python主程序和初始程序
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
psycopg2根本不使用服务器端准备的语句和绑定参数。它实际上通过字符串插值来执行所有查询,但它谨慎地遵守引用规则,并且以一种安全的方式这样做。在cursor.mogrify只是一个手动调用,psycopg2在将参数插入到自己的SQL字符串中时所使用的逻辑,然后将其发送到服务器。在这样做是安全的。只要确保你的代码有注释解释你为什么这么做,为什么它是安全的。在
但是,我个人建议避免这种方法,而使用它的^{} support 。在
相关问题 更多 >
编程相关推荐