sql >> Database teknologi >  >> RDS >> Mysql

Forbedre SQL INSERT-forespørgsel for at undgå sql-injektioner

Få din forespørgsel til at bruge parametre. Meget mindre chance for injektion:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

kredit (og mere info) her:Hvordan bruges variabler i SQL-sætning i Python?

Dan Bracuk har også ret - sørg for at validere dine parametre, før du udfører SQL'en, hvis du ikke allerede er det




  1. Sådan eksporteres clob-feltdata i oracle sql-udvikler

  2. Sådan laver du en INSERT Pass-Through-forespørgsel i SQL Server

  3. ORACLE og TRIGGERS (indsat, opdateret, slettet)

  4. Opdel datointerval i én række om måneden i sql server