  / c$ A- {/ P/ j, o6 G0 K4 A* [3 n
一、Python 使用 Mysql1、Python 代码:  ! O4 b" E4 ^* i( M& G
2、Python 输出结果:  ! ~) D1 N* \4 k1 s
3、分析① 当用户名和密码正确时,发现可以正常打印字段数据  - [/ M( | B2 B. j; {, O% ~
② 当用户名或密码错误时,输出“账号或密码错误” 
0 o4 w6 R J8 I6 j3 Y# U2 C# A ③ 当用户名输入"python -- Python大星到此一游",密码为空,仍然可以正常打印数据 
5 V' a, ^+ g" L0 K! A& B ④ 当用户名输入"**** or 1 = 1 -- Python大星到此一游",密码为空,打印了所有用户信息 
0 k9 I! k5 A9 T3 b8 M6 ^ 其中第 ③ 和 ④ 条就是由于 加上 -- 注释 ,sql 注入导致的4、优化execute可以自动识别sql语句中的 %s ,它可以帮助你过滤特殊的字符,避免sql注入的问题   . m0 b$ J: n) E% L4 t O2 N o
输出结果二、如何防止 sql 注入1、永远不要信任用户的输入对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双 - 进行转换等2、 永远不要使用动态拼装 sql可以使用参数化的 sql 或者直接使用存储过程进行数据查询存取。 . d7 v% y4 I0 |" n4 b3 R
3、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接4、不要把机密信息直接存放加密或者 hash 掉密码和敏感的信息5、应用的异常信息应该给出尽可能少的提示最好使用自定义的错误信息对原始错误信息进行包装
1 C6 o' j3 R) r9 [1 V9 C >>> ython 之 MySql“未解之谜”15--DDL、DML、DCL和TCL都是啥? " k( j1 H9 x7 c1 O7 c4 X
4 v4 a# a/ `- A# H S' I4 d
% L( {- w& R# W
0 E- G9 f+ m1 k5 u; k
! d' _4 U. V8 P" q5 z# r7 v+ H5 l
| 
