如何清理 PSQL LIKE 查詢以防止注入攻擊 - SQALCHEMY PYTHON
[英]How to sanitize PSQL LIKE query against injection attacks - SQALCHEMY PYTHON
問題描述
當我向它傳遞一些從表單中獲取的變量時,我試圖使用 python 清理 sql 查詢。 我有以下內容:
listOfBooks = db.execute("SELECT * from books WHERE " + searchParameter + " LIKE" + "'%"+ ":searchString" +"%'", {"searchString": searchString} ).fetchall()
但顯然它給了我一個錯誤,因為它將它解釋為
SELECT * from books WHERE isbn LIKE'%'2017'%' ,
所以問題是2017年左右有額外的單引號不應該存在。
如何解決這個問題?
干杯!
1 個解決方案
解決方案1
0 2019-04-29 18:27:24
我不確定您使用哪種語言,我假設它是 Java,在這種情況下,您應該像這樣將單引號替換為雙單引號
searchString.replace("'", "''")
在 python 中,如何執行減輕 SQL 注入的 postgresql 'LIKE %name%' 查詢?
[英]In python, How to do the postgresql 'LIKE %name%' query which mitigate SQL injection?
sqalchemy + postgresql:將 uuid 投射到文本並與 like 匹配
[英]sqalchemy + postgresql: casting a uuid to text and matching with like
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何正確清理文件名(防止shell注入)?
SQLAlchemy查詢是否容易受到注入攻擊?
如何防止 discord bot python 中的 SQL 注入攻擊
防止參數綁定之外的SQL注入攻擊
在 python 中,如何執行減輕 SQL 注入的 postgresql 'LIKE %name%' 查詢?
兩個日期之間的SQALCHEMY查詢
如何使用 PYTHON 進行 PSQL 復制
如何清理 Python 中的 url 字符串?
sqalchemy + postgresql:將 uuid 投射到文本並與 like 匹配
如何清理用戶輸入以防止二階SQL注入?
相關標簽