pymsql 或者 有推荐其他的数据库框架吗，我想防注入。。

orm 了解下

关键字：参数化查询

刚开始学真的不用考虑这么多 先把程序写出来再考虑其他吧

参数化查询或者 ORM
另外如果是手写的 SQL，参数化查询也不一定是保险的，
表名，limit order by offset 这些记得用白名单或者强制转整形

请贴代码，很多人用 pymsql 直接拼接字符串的

%s 不行？

印象中。。python 的 mysql 查询没有真正的参数化查询
参数化效果依赖库的底层字符串拼接实现

望指正

@mhycy 有的，前几天刚写过

https://blog.dfen.xyz/2018/04/sql-injection.html?m=1

放在 Blogger 上的，要过墙

预处理不就防注入了

flask-sqlalchemy

peewee 和参数化查询了解一下，http://docs.peewee-orm.com/en/latest/peewee/querying.html#security-and-sql-injection

@yu099
这个库的底层依旧是拼接，只是过了一层转义
和真正的参数化查询有区别

@mhycy 看了一下代码实现确实如此，这就很尴尬了。各个地方都这么介绍，我还以为是标准的预处理…

如果是不含 ORM 组件的 web 框架可以使用 sqlalchemy。
另外问一下各位，使用 pymysql 的的时候，我在执行 sql 前强制检测单引号并转义，是不是能防止注入？

我是用 re 预处理，如果含有特殊字符就直接返回

@Nick2VIPUser 这个拼接的感觉还是有些风险，有些 SQL 注入对检测转义绕过方式就是使用编码，对检测的要求非常高

@yu099 编码?就是 utf-8 gbk 这样的?我昨天查了下资料..要检测编码也是很难,有些编码,有重合...

贴不了图额。。。

if request.method == 'POST':
form = request.form
username = form.get('username')
password = form.get('password')

pool = SingletonDBPool()
con = pool.connect()
cur = con.cursor()

sql = "select * from users where username = '%s' and passwords = '%s'" % (username,password)
print(sql)
cur.execute(sql)
result = cur.fetchone()
con.commit()
con.close()
print(result)

@mamian 已贴代码