1
我的理解是,SQL注入通常是不好的。這很好,正如PEP 249所述,您可以使用佔位符來防止大多數通用注射。然而,我沒有看到如何使涉及LIKE的查詢動態化。使用python 2.7和MySQLdb進行動態LIKE查詢
我的情況具體是我有一個ajax調用是在輸入更改爲名稱字段上運行。結果是我的查詢結果被過濾WHERE table.name LIKE name_var
作爲一個簡單的表示。顯然直接在name_var中插入查詢是非常危險的,而且有些人甚至可能會因爲看到這一點而產生一箇中風。但是,我如何使這個安全和動態?我是否構建自己的解析器? MySQLdb是否有一些內置的功能來處理這個問題?我似乎無法找到很有用的信息,所以我會很感激任何幫助。
哦真棒,我想我可以做一些這種效果,但沒有運氣。我會把這隻兔子全部下來,看看它是從哪裏來的。謝謝! – Turk