Tôi có thể sử dụng phần giữ chỗ nào với pymssql. Tôi nhận được các giá trị của tôi từ chuỗi truy vấn html để chúng là tất cả các chuỗi kiểu. Đây có phải là an toàn đối với tiêm sql?pymssql và giữ chỗ
query = dictify_querystring(Response.QueryString)
employeedata = conn.execute_row("SELECT * FROM employees WHERE company_id=%s and name = %s", (query["id"], query["name"]))
Cơ chế nào đang được sử dụng trong trường hợp này để tránh tiêm?
Không có nhiều trong cách tài liệu cho pymssql ...
Có thể có một mô-đun python tốt hơn tôi có thể sử dụng để giao tiếp với SQL Server 2005.
Cảm ơn,
Barry
Tôi đã thiếu các dấu ngoặc đơn, nhưng tôi không cần báo giá khoảng% s. – Baz
À vâng, cũng không có trích dẫn nào trong câu hỏi được liên kết. Nên chú ý hơn. Xin lỗi vì đã làm phiền bạn không cần thiết. –
Nhưng!Nó có thể giúp bạn trong việc tìm hiểu xem truy vấn của bạn có an toàn không nếu bạn chạy SQL Profiler và xem xét truy vấn thực tế được chuyển đến máy chủ. Nếu có vẻ như 'sp_executesql 'truy vấn của bạn', 'định nghĩa @var', giá trị arg', thì rất có thể phương pháp của bạn là SQL injection an toàn. –