Python MySQLdb - программирование кода внедрения SQL

Question

Python MySQLdb - программирование кода внедрения SQL

Во-первых, я очень новичок в переполнении стека (первый вопрос опубликован) и на форумах в целом. В дополнение к этому недостатку я также новичок в разработке и базах данных, отличных от уровня системного администрирования.

Я вижу несколько вопросов об использовании переменных в Python с модулем MySQLdb в stackru. Многие из них упоминают такой код SQL-инъекции . Ответ с 70 + upvotes дает вам пример, где% является решающим символом того, восприимчив ли ваш код к SQL-инъекции. Мои вопросы:

Правильно ли я понимаю, что "" % (VAR) вместо "", (VAR) - это то, что имеет значение?
Если это так, то является ли этот пост также примером или есть что-то другое с использованием% для обозначения таблицы против предложения?

Стоит отметить, что я попытался узнать больше о SQL-инъекциях. Не уверен, что я слишком плотный или материал, но я просто не следую. В этой статье cisco, которую я пытался выполнить, я обнаружил, что нет упоминания о проценте, но вместо этого они, кажется, используют? Так что, если кто-то может указать мне на какую-то документацию "непрофессионала", я был бы признателен!

3

mysql python-2.7 mysql-python code-injection

Источник

user2526654 03 авг '13 в 02:11

1 ответ

Решение

Другие вопросы по тегам mysql python-2.7 mysql-python code-injection

user2526654 29 янв '16 в 16:02 2016-01-29 16:02 · Accepted Answer · 2016-01-29 16:02

RandomSeed опубликовал правильный ответ на мой вопрос, поэтому я сделаю репост:

Внедрение SQL становится возможным, как только вы начинаете интегрировать пользовательский ввод в ваши запросы. Это одна из самых известных иллюстраций. Этот справочный вопрос, хотя и изначально применяется к PHP, также предоставляет тонны ценной информации о том, как предотвратить это, независимо от языка