字符串中的 sql 引用 - SQL

在编写应用程序时，经常需要将 SQL 语句嵌入到字符串中。通常，这是使用字符串连接符完成的，但是这样做可能会带来 SQL 注入的风险。更好的方法是使用参数化查询或 SQL 引用。

SQL 引用

SQL 引用是指将 SQL 语句嵌入到字符串中，但不是通过字符串连接符将其连接在一起，而是将其作为单独的字符串传递给执行 SQL 查询的方法。

在 Python 中，可以使用如下方式执行 SQL 引用：

query = """SELECT * FROM users WHERE name = %(name)s"""
cursor.execute(query, {'name': 'John'})

在上述代码中，我们使用 "%%(name)s" 的语法表示引用了一个 SQL 参数 "name"。

SQL 注入

SQL 注入是指恶意用户利用应用程序中的漏洞，在应用程序中执行非预期的 SQL 语句。例如，假设我们使用以下方式执行 SQL 查询：

name = request.POST.get('name')
query = f"SELECT * FROM users WHERE name = '{name}'"
cursor.execute(query)

如果恶意用户提交了以下内容，则可以导致 SQL 注入攻击：

Robert'; DROP TABLE students; --

上述输入在 SQL 查询中会被解析成以下内容：

SELECT * FROM users WHERE name = 'Robert'; DROP TABLE students; --'

这将导致 DROP TABLE 命令在执行查询之前被执行，从而删除表格。为防止这类攻击，应该使用参数化查询或 SQL 引用。

参数化查询

参数化查询是指将查询参数作为单独的输入传递给 SQL 查询方法，而不是将其嵌入到查询字符串中。在 Python 中，可以使用如下方式执行参数化查询：

name = request.POST.get('name')
query = "SELECT * FROM users WHERE name = %s"
cursor.execute(query, (name,))

在上述代码中，我们使用 %s 占位符表示参数化查询。由于参数被单独传递给 SQL 查询方法，因此无法注入 SQL 代码。