Python を使用して、Google の新しい Cloud SQL (mySQL) データベースと通信しています。実際の例がありますが、サンプル コードで SQL インジェクション攻撃を阻止できるかどうか疑問に思っていました。
mdata = self.request.get('mdata')
conn = rdbms.connect(instance=_INSTANCE_NAME, database='metarsql')
cursor = conn.cursor()
# Note that the only format string supported is %s
cursor.execute('INSERT INTO metar (metar_data) VALUES (%s)', (MySQLdb.escape_string(mdata)))
conn.commit()
conn.close()
SQL インジェクションを停止するために追加する関数またはコマンドはありますか? 複数のSQLコマンドを停止する機能でしょうか?
Google 検索には、Cloud SQL とインジェクションはあまりありませんでした。
よろしくお願いします
アンドレ・F・ブルートン