Python：连接 MySQL 并执行查询的最佳实践和最安全的方法[重复]

问题描述：

在 MySQL 上运行查询的最安全方法是什么？我知道 MySQL 和 SQL 注入带来的危险。

但是，我不知道如何运行查询以防止注入其他用户（Web 客户端）可以操纵的变量。我曾经编写自己的转义函数，但显然这“未完成”。

我应该使用什么以及如何使用它通过 python 在 MySQL 数据库上安全地查询和插入而不冒 MySQL 注入的风险？

解决方案 1：

为了避免注入，请使用executewith%s代替每个变量，然后通过列表或元组将值作为 的第二个参数传递execute。以下是文档中的一个例子：

c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""", (max_price,))

请注意，这里使用的是逗号，而不是%（后者是直接字符串替换，而不是转义）。不要这样做：

c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""" % (max_price,))

'%s'此外，如果参数是字符串，则不能在位置持有者 () 周围使用单引号，因为驱动程序提供了这些。

解决方案 2：

作为 Bruno 答案的扩展，您的 MySQL 客户端库可能支持几种不同的格式来指定命名参数。从PEP 249 (DB-API)，您可以编写如下查询：

'qmark'

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = ?", (lumberjack,))

'数字'

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = :1", (lumberjack,))

‘命名’

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = :jack", {'jack': lumberjack})

'格式'

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = %s", (lumberjack,))

‘pyformat’

>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = %(jack)s", {'jack': lumberjack})

您可以通过查看paramstyle模块级变量来了解您的客户端库支持哪些库：

>>> clientlibrary.paramstyle
'pyformat'

上述任何选项在处理可能不安全的数据时都应该做正确的事情。正如 Bruno 指出的那样，请不要尝试自己插入参数。常用的客户端库在正确处理数据方面比我们普通人要好得多。