Python連接MySQL數據庫執行sql語句時的參數問題
阿新 • • 發佈:2018-11-23
字符串類 比較 pri name 漏洞 lose exc hal use
由於工作需要,今天寫了一個Python小腳本,其中需要連接MySQL數據庫,在執行sql命令時需要傳遞參數,結果出問題了。在網上查了一下,發現有以下幾種方式傳遞參數:
一.直接把sql查詢語句完整寫入字符串
try:
connection = MySQLdb.connect(user="secsel",passwd="secsel@55",host="192.168.138.55",db="anbench")
except:
print "Could not connect to MySQL server."
exit( 0 )
cursor = connection.cursor()
cursor.execute( "SELECT a.id,a.md5,CONCAT(b.`from_name`,‘/‘,b.`suffix`,‘/‘,a.`md5`) FROM apk_sec a,apk_from b WHERE a.`apk_from_id`=b.`id` AND a.md5 = %s", apk_md5)
二.使用參數替代
city = ‘beijing‘ cur.execute(“SELECT * FROM %s WHERE city = %s”, city)
#註意此處的占位符統統是%s字符串類型,不再區分字符串,數字或者其他類型。另外%s不能加引號,如”%s”這是錯誤的寫法。我就是加引號出錯了。
變量替代的時候還有一種寫法:
cur.execute(“SELECT * FROM %s WHERE city = %s” %city)
前面代碼使用了逗號,這裏使用了百分號%。兩者區別在於變量的解釋方式。使用逗號,變量是作為execute的參數傳入的,由MySQLdb的內置方法把變量解釋成合適的內容。使用百分號%則是用Python編譯器對%s執行相應的替代,這種方法是有漏洞的,有些時候(比如包含某些特殊字符的時候)不能正常解析,甚至會有註入漏洞。一般情況下都要把變量作為execute的參數傳入。
3.使用字典dict類型傳遞變量
sql = “INSERT INTO user VALUES(%(username)s, %(password)s, %(email)s)”
value = {“username”:zhangsan,
“password”:123456,
“email”:[email protected]}
cur.execute(sql, value)
上面這種方法適合字段比較多的時候,變量順序不會錯。
附上我寫的腳本代碼相關部分:
def get_apkpath(apk_md5):
try:
connection = MySQLdb.connect(user="***",passwd="***",host="192.168.***.***",db="***")
except:
print "Could not connect to MySQL server."
exit( 0 )
cursor = connection.cursor()
cursor.execute( "SELECT a.id,a.md5,CONCAT(b.`from_name`,‘/‘,b.`suffix`,‘/‘,a.`md5`) FROM apk_sec a,apk_from b WHERE a.`apk_from_id`=b.`id` AND a.md5 = %s", apk_md5) #註意不要加引號
print "Rows selected:", cursor.rowcount
for row in cursor.fetchall():
print "note : ", row[0], row[1], row[2]
cursor.close()
return row[2]
Python連接MySQL數據庫執行sql語句時的參數問題