Mysql
 sql >> Base de données >  >> RDS >> Mysql

Améliorer la requête SQL INSERT pour éviter les injections sql

Faites en sorte que votre requête utilise des paramètres. Beaucoup moins de chance d'injection :

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

crédit (et plus d'informations) ici :Comment utiliser des variables dans une instruction SQL en Python ?

De plus, Dan Bracuk a raison - assurez-vous de valider vos paramètres avant d'exécuter le SQL si vous ne l'êtes pas déjà