Исправление SQL-инъекций с _mysql

Я только узнал, что способ, которым я пользуюсь _mysql, вызывает серьезную проблему с SQL-инъекцией.Исправление SQL-инъекций с _mysql

Мой текущий код выглядит следующим образом:

db = _mysql.connect('', 'user', 'pass', 'db') 
query = """SELECT * FROM stuff WHERE thing="{0}" """.format(user_input) 
cur.query(query)

Что я делаю неправильно и как я могу это исправить, так что это безопасно?

Я попытался использовать _mysql.escape_string(), но это все еще возвращает синтаксическую ошибку SQL.

источник

2013-03-11 Max00355

Ну ... Вам нужно воспитывать себя. Это похоже на приемлемый источник: . –

* Уязвимость SQL Injection * не имеет ничего общего с синтаксическими ошибками. Просьба уточнить ваш точный вопрос. –

Вы можете использовать MySQLdb по себе:

conn = MySQLdb.connect(); 
curs = conn.cursor(); 
curs.execute("SELECT * FROM stuff WHERE thing = %s", (user_input));

Если вы хотите придерживаться _mysql, используйте db.escape_string(user_input).

Документация: http://mysql-python.sourceforge.net/MySQLdb.html

источник

2013-03-11 00:42:20

Хорошо, я просто использую escape_string. – Max00355

@ Max00355: вы действительно * должны * использовать 'MySQLdb' ... – SingleNegationElimination

Я решил использовать MongoDB вместо этого. – Max00355

Хороший удобный справочник доступен через the bobby tables website.

Вы также можете найти значение в In this powerpoint reference, в котором приведены примеры внедрения sql, а также возможные способы устранения проблемы.

источник

2013-03-11 00:44:43

Исправление SQL-инъекций с _mysql

ответ

Смежные вопросы