-3

我忘记了 PHP 在 PHP 中需要什么,我想你所要做的就是..

$html_code = addslashes($html_code);

在 Python 中是否有“addslashes”等价,所以我可以尝试一下?

4

1 回答 1

1

将转义留给数据库 API,并使用 SQL 参数:

cursor.execute('INSERT INTO some_table VALUES (%s)', (html_value,))

通过使用 SQL 参数(这里使用 MySQLdb 参数样式%s)并将值作为单独的参数传递,数据库 API 会为您适当地转义该值,从而防止 SQL 注入作为奖励。

在这方面,HTML 与其他字符串值没有什么不同。

于 2013-05-15T17:26:15.113 回答