我是MySQL-Python连接器编码的新手，具体内容如下 [英] I am a newbie to the MySQL-python connector coding, specifics given below

查看：0 发布时间：2022/8/16 15:25:13 python-3.x mysql-python mysql-connector-python

本文介绍了我是MySQL-Python连接器编码的新手，具体内容如下的处理方法，对大家解决问题具有一定的参考价值，需要的朋友们下面随着小编来一起学习吧！

我需要将变量连接到要从表中检索特定详细信息的搜索条件：

purchase = input("Please enter your Transaction ID(Found in the format - Letter-Number-Letter-Letter-Number, like A9BH1): ")

在这里，我需要在

中使用‘购买’作为条件

  sql = "select * from 4wps where T_ID = "
  cursor.execute(sql)
  result = cursor.fetchall()

我不知道如何在上面的样本中输入‘T_ID=’后的‘Purchase’。我遵循了一个朋友的代码，但他显然是从某个地方抄袭来的。

我在印度的CBSE排名第12，这是为了一个项目，因此我不能使用任何高级的东西。

如果您阅读official docs，您可以(也应该！)使用元组或字典将参数传入查询：

cursor.execute(operation, params=None, multi=False)

对于您的查询，您可以这样做。

sql = 'SELECT * FROM 4wps WHERE T_ID = %s'
cursor.execute(sql, (purchase,))

或者这样

sql = 'SELECT * FROM 4wps WHERE T_ID = %(tid)s'
params = {'tid': purchase}
cursor.execute(sql, params)

在这两种情况下，连接器都会将purchase变量的内容放入查询中，并在必要时自动为字符串添加引号。通常首选使用这种技术，因为它提供了一些针对SQL注入攻击的保护。

我不确定这是否有效，但想象一下，如果用户键入以下内容：

Please enter your Transaction ID
(Found in the format - Letter-Number
-Letter-Letter-Number, like A9BH1): 
      (DROP TABLE 4wps)

您的数据表可能会被销毁。

SQL注入的另一个幽默示例是Bobby Tables，下面将再次解释here

这篇关于我是MySQL-Python连接器编码的新手，具体内容如下的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！

查看全文