sql注入

sql语句的参数化，可以有效防止sql注入

注意：此处不同于python的字符串格式化，全部使用%s占位

# # 非安全的方式

# # 输入 " or 1=1 or " (双引号也要输入)  --出现的原因字符串的拼接  

1=1以满足这样的就会把所有商品显示出来      

sql注入语句：  " or 1=1 or "

# sql = 'select * from goods where name="%s"' % find_name

# print("""sql===>%s<====""" % sql)

# # 执行select语句，并返回受影响的行数：查询所有数据

# count = cs1.execute(sql)

# 安全的方式

# 构造参数列表params = [find_name]

# 执行select语句，并返回受影响的行数：

查询所有数据count = cs1.execute('select * from goods where name=%s', params)-- 有几个占位符，列表就有几个元素，就解决了sql注入问题

防止sql注入

# 注意：# 如果要是有多个参数，需要进行参数化

# 那么params = [数值1, 数值2....]，此时sql语句中有多个%s即可

找到一个地方这样写，就可以脱库

脱库 ：把数据库down一份下来

delect  from xxx删除商品时，被sql注入就被改成delect  from xxx where id=xxx  （表里面的信息全没）