sql参数化实现防注入的示例:
构造execute参数列表,让模块自动去拼装查询字符串,可防止SQL注入现象发生,代码:
# 安全方式
find_name = input("请输入您要查询商品的名称:")
# 构造参数列表
params = [find_name]
# 执行select语句,并返回受到影响的行数;查询数据
count = cs1.execute('select * from goods where name=%s;' % params)
辰迅云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
推荐阅读: sql event的安全性如何保障