在python中防止SQL注入

概述我在 Python中有一些代码在sqlite DB中设置char(80)值. 该字符串是通过文本输入字段直接从用户获取的,并使用JSON结构中的POST方法发送回服务器. 在服务器端,我当前将字符串传递给调用SQL UPDATE *** 作的方法. 它有效,但我知道它根本不安全. 我希望客户端无论如何都是不安全的,因此任何保护都应放在服务器端.我可以做些什么来再次保护UPDATE *** 作SQL注入？ 我正在寻 我在 Python中有一些代码在sqlite DB中设置char(80)值.

该字符串是通过文本输入字段直接从用户获取的,并使用JsON结构中的POST方法发送回服务器.

在服务器端,我当前将字符串传递给调用sql UPDATE *** 作的方法.

它有效,但我知道它根本不安全.

我希望客户端无论如何都是不安全的,因此任何保护都应放在服务器端.我可以做些什么来再次保护UPDATE *** 作sql注入？

我正在寻找的是一个“引用”文本以便它不会混淆sql解析器的函数.我希望这样的功能存在,但找不到它.

编辑：
这是我当前设置char字段名称标签的代码：

def setLabel( self,userID,refID,label ):    self._db.cursor().execute( """        UPDATE items SET label = ? WHERE userID IS ? AND refID IS ?""",( label,refID) )    self._db.commit()

解决方法 从文档：

con.execute("insert into person(firstname) values (?)",("Joe",))

这逃脱了“乔”,所以你想要的是

con.execute("insert into person(firstname) values (?)",(firstname_from_clIEnt,))

总结

以上是内存溢出为你收集整理的在python中防止SQL注入全部内容，希望文章能够帮你解决在python中防止SQL注入所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。