在python中使用sqlite的时候应注意防止注入攻击

		在python的文档中有大概这样一段描述：
 
在使用sql语句操纵数据库的时候，不应该直接将字符串连接起来作为sql语句进行查询，因为直接将外部传入的字符串代入到sql语句中就会产生sql注入的问题。
 
 
 
 
 
比如下面是一个错误的用法
 
symbol = 'IBM'
 
c.execute("... where symbol = '%s'" % symbol)
 
#错误的用法，会带来sql注入
 
在实际使用的时候，应该使用数据库API提供的参数替代方法传递外部的参数。也就是常说的“一个萝卜一个坑”。把需要执行的sql参数作为数据库API的某个函数的参数传递进去，这样在API内部就做了对敏感字符的转义工作。
 
下面是正确的用法：
 
t = (symbol,)
 
c.execute('select * from stocks where symbol=?', t)
 
# Larger example
 
for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]:
 
c.execute('insert into stocks values (?,?,?,?,?)', t)
 
在python中，这种语法的用法是：在sql语句的任意位置使用问号替代参数，然后把外部传递进来的参数放在一个数组中，然后把数组作为cursor.execute()方法的参数传递进去查询。
 
						
		
	

补充：综合编程 , 安全编程 ,

上一个：编译防火墙(一)
下一个：Java安全模型介绍