[英]How to sanitize PSQL LIKE query against injection attacks - SQALCHEMY PYTHON
當我向它傳遞一些從表單中獲取的變量時,我試圖使用 python 清理 sql 查詢。 我有以下內容:
listOfBooks = db.execute("SELECT * from books WHERE " + searchParameter + " LIKE" + "'%"+ ":searchString" +"%'", {"searchString": searchString} ).fetchall()
但顯然它給了我一個錯誤,因為它將它解釋為
SELECT * from books WHERE isbn LIKE'%'2017'%'
,
所以問題是2017年左右有額外的單引號不應該存在。
如何解決這個問題?
干杯!
我不確定您使用哪種語言,我假設它是 Java,在這種情況下,您應該像這樣將單引號替換為雙單引號
searchString.replace("'", "''")
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.