_mysqlの使用方法が、SQLインジェクションの大きな問題を引き起こしていることがわかりました。
私の現在のコードは次のようになります:
db = _mysql.connect('', 'user', 'pass', 'db')
query = """SELECT * FROM stuff WHERE thing="{0}" """.format(user_input)
cur.query(query)
何が間違っているのでしょうか。安全になるように修正するにはどうすればよいですか。
_mysql.escape_string()を使用しようとしましたが、それでもSQL構文エラーが返されます。
単独で使用できますMySQLdb:
conn = MySQLdb.connect();
curs = conn.cursor();
curs.execute("SELECT * FROM stuff WHERE thing = %s", (user_input));
に固執したい場合は_mysql、 を使用してdb.escape_string(user_input)ください。
bobby tables の Web サイトで便利なリファレンスを入手できます。
また、SQL インジェクションの例と、問題を軽減する方法を示しているこのパワーポイント リファレンスで値を見つけることもできます。