如果字段与指定值不同,则更新 mySQL,但如果不是,则保持不变?

问题描述 投票:0回答:0

有时我需要分部分搭建一个

sql query string
。那么在所有可用的选项中,什么是最安全的呢?我正在使用 
Python 3.x
mysql
连接器来执行这些查询。

听说像这个例子中的

+=
方法容易受到注入攻击:

sql_query = "SELECT * FROM enrollments "
sql_query += "WHERE student = 'active'"

使用 

join()
会更安全吗?为什么?

sql_query = ''.join(["SELECT * FROM enrollments ","WHERE student = 'active'"])
mysql python-3.x sql-injection
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.