3

首先,我对堆栈溢出(发布的第一个问题)和一般论坛非常陌生。除了这个失败之外,除了系统管理类型级别之外,我也是开发和数据库的新手。

我看到几个关于在 Python 中使用变量和 stackoverflow 上的 MySQLdb 模块的问题。他们中的许多人都提到了这样的 SQL 注入代码70 + 赞成票的答案为您提供了一个示例,其中 % 似乎是您的代码是否容易受到 SQL 注入影响的决定性字符。我的问题是:

  1. 我是否正确理解“”%(VAR)而不是“”,(VAR)有什么不同?

  2. 如果是这种情况,那么这篇文章也是一个例子,还是使用 % 来指定一个表和一个子句有什么不同?

值得一提的是,我尝试更多地了解 SQL 注入。不确定我是否太密集或材料太密集,但我只是没有关注。在我尝试关注的 cisco 的这篇文章中,我发现没有提到百分比,而是他们似乎在使用 ?。因此,如果有人可以向我指出一些“外行”文档,我将不胜感激!

4

1 回答 1

1

RandomSeed 发布了我的问题的正确答案,所以我将重新发布:

一旦您开始将用户输入集成到查询中,SQL 注入就成为可能。这是最著名的插图之一。 这个参考问题,虽然最初适用于 PHP,但也提供了大量关于如何防止这种情况的有价值信息,无论是哪种语言

于 2016-01-29T16:02:22.290 回答