Я только узнал, что способ, которым я пользуюсь _mysql, вызывает серьезную проблему с SQL-инъекцией.Исправление SQL-инъекций с _mysql
Мой текущий код выглядит следующим образом:
db = _mysql.connect('', 'user', 'pass', 'db')
query = """SELECT * FROM stuff WHERE thing="{0}" """.format(user_input)
cur.query(query)
Что я делаю неправильно и как я могу это исправить, так что это безопасно?
Я попытался использовать _mysql.escape_string(), но это все еще возвращает синтаксическую ошибку SQL.
Ну ... Вам нужно воспитывать себя. Это похоже на приемлемый источник:. –
* Уязвимость SQL Injection * не имеет ничего общего с синтаксическими ошибками. Просьба уточнить ваш точный вопрос. –