python SQL注入的解决办法

      APP爆出一个大Bug，只要在查询框内输入“%”，就会检索出所有的数据，最后有人给出了这样的解决方案，在前端进行验证，禁止用户输入“%”之类的特殊字符。

      帅呆了！责任轻易地就甩给了前端！

      我反问，如果百分号要进行禁止，那么“*&’“()”要不要进行禁止？“desc、select、from”等关键字要不要禁止？还有“+-”，正则表达式相关的符号要不要禁止？就算输入框禁止了，直接发送http请求又如何禁止？

      明明是SQL语句的生成有问题，偏偏说是验证的问题。出现这种问题，SQL语句必然是字符串拼接生成，这也一定会存在SQL注入安全问题，说得难听点，相关的SQL语句都是系统的毒瘤，必须要清除。

      解决办法其实很简单，用占位符即可，实例如下：

#   连接数据库cxn=psycopg2.connect(database='lap',user='postgres',password='root')#   获取游标cur = cxn.cursor()#   执行插入语句cur.execute('insert into t_user (username,password) VALUES (%s,%s)',('%ab','*'))#   执行查询语句cur.execute('select * from t_user where username = %s',("%ab",))#   获取结果集rows = cur.fetchall()

      更多实例，供参考：

#   删除语句也不能拼接字符串cur.execute('delete from t_user where userid = %s',(14,))#   输入任何特殊字符都依旧正常cur.execute('select * from t_user where password = %s',("*",))#   单引号是破解SQL注入的关键cur.execute('select * from t_user where password = %s',("'",))

      最后，再说一句，不要给用户设置太多的限制，这是别人的自由，你管不着！