如果字段与指定值不同,请更新 mySQL,但如果不是,则不用管它?

Update mySQL if a field is different than a specified value, but leave it alone if not?

提问人:user3200404 提问时间:4/1/2023 最后编辑:Marcelo Pacouser3200404 更新时间:4/1/2023 访问量:24

问:

有时我需要构建一个部分。那么,在所有可用的选项中,什么是最安全的呢?我正在使用 和 连接器来执行这些查询。sql query stringPython 3.xmysql

我听说使用本例中的方法容易受到注入攻击:+=

sql_query = "SELECT * FROM enrollments "
sql_query += "WHERE student = 'active'"

如下例所示,使用 会更安全吗,为什么?join()

sql_query = ''.join(["SELECT * FROM enrollments ","WHERE student = 'active'"])
mysql python-3.x sql注入

评论

2赞 ysth 4/1/2023
join 和 += 在这里没有什么不同。你展示的内容中注入攻击没有问题;当部分查询来自用户输入或环境时,这是一个问题。您的问题缺少关键部分,该部分显示了您需要在标题中提及但未在问题正文中显示的部分中构建它的情况

答: 暂无答案

上一个:此 TypeORM 查询是否容易受到 SQL 注入的攻击?

下一个:Checkmarx二阶SQL注入php