asyncpg 中的 fetchval 是否适用于 sql 注入?
async def get_user_id_by_bot_id(self, bot_id):
record: Record = await self.pool.fetchval(self.GET_USER_ID_BY_BOT_ID, (bot_id))
print(record)
return record
谢谢你的回答。
问问题
510 次
1 回答
1
是的,asyncpg 使用 PostgreSQL 的语法进行参数替换。只要您使用该功能,通过传递参数并使用参数$的索引,您应该是安全的!
您不应该像在代码中显示的那样将 args 放在元组中,但请执行以下操作:
record: Record = await self.pool.fetchval(self.GET_USER_ID_BY_BOT_ID, bot_id)
有关如何正确使用参数替换的更多示例:
record = await self.pool.fetchval("SELECT * FROM table WHERE id = $1;", my_id)
record = await self.pool.fetchval("UPDATE table SET name = $1 WHERE id = $2 AND username = $3;", new_name, my_id, username)
于 2020-11-20T17:51:38.157 回答