为什么sqlite3里用"?"作占位符就能防止sql注入?
sqlite3操作数据库的时候cur.execute('insert into t values (%d)'% num) 会被sql注入,但把占位符该成?就不会了.那问题来了,这个?到底做了什么才防止了sql注入呢?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
?会把参数当做值来处理,不管参数是什么,都把它插入表就完事。
而直接的字符串拼接是把参数当做SQL语句的一部分,参数中有SQL语句的话,是有可能被执行的