sql查询是在python模块中生成的。
数据库是PostgreSQL。你知道吗
在sql查询中,存在与子字符串的比较:
'''
SELECT *
FROM TableTemp
WHERE "SomeColumn" LIKE '%{0}%'
'''.format(<some_string>)
如果字符串为:
%' --
然后检查将始终返回“True”。
另外,这是一个进行sql注入的机会
提示,如何正确处理一个字符串,它被认为是在搜索,但没有崩溃的请求和有sql注入?你知道吗
升级版:
问题解决了。评注中的决定
Tags:
将字符串作为一个整体传递给
psycopg2
,作为.execute()
的第二个参数。引用:http://initd.org/psycopg/docs/usage.html#passing-parameters-to-sql-queries演示:
相关问题 更多 >
编程相关推荐