我可以在pymssql中使用哪些占位符。我从html查询字符串中获取我的值,以便它们都是字符串类型。这是安全的关于SQL注入?pymssql和占位符
query = dictify_querystring(Response.QueryString)
employeedata = conn.execute_row("SELECT * FROM employees WHERE company_id=%s and name = %s", (query["id"], query["name"]))
在这种情况下使用什么机制来避免注射?
没有在pymssql文档的方式多...
也许有更好的Python模块,我可以使用与SQL Server 2005
感谢接口,
Barry
我错过了括号,但是我不需要引用%s。 – Baz 2012-03-15 18:33:35
啊是的,链接的问题中也没有引号。应该更加关注。对不起,你不必要地打扰你了。 – 2012-03-15 18:37:25
但是!如果运行SQL Profiler并查看传递给服务器的实际查询,它可能会帮助您确定查询是否安全。如果它看起来像'sp_executesql''你的查询','@var definitions',arg values',那么很可能你的方法是SQL注入安全的。 – 2012-03-15 18:42:50