PEP 249是Python数据库API 2.0的规范,其中定义了一些数据库操作的通用接口。许多数据库驱动都遵循这个规范,包括`pymysql`、`psycopg2`(PostgreSQL)和`sqlite3`等。在使用这些数据库驱动程序时,为了防止SQL注入攻击,建议使用参数化查询。
以下是一个示例,演示如何通过PEP 249接口执行安全的数据库查询,并防止SQL注入。为了说明,我将使用`pymysql`库作为MySQL的示例,但类似的方法也适用于其他遵循PEP 249规范的数据库库。
### 示例代码
```python
import pymysql
import sys
def fetch_user_data(username, age):
# 数据库连接
connection = pymysql.connect(
host='localhost',
user='your_username',
password='your_password',
database='your_database'
)
try:
cursor = connection.cursor()
# 使用参数化查询
query = "SELECT * FROM users WHERE username = %s AND age = %s"
cursor.execute(query, (username, age))
# 获取并打印结果
results = cursor.fetchall()
for row in results:
print(row)
except Exception as e:
print(f"An error occurred: {e}", file=sys.stderr)
finally:
# 关闭游标和连接
cursor.close()
connection.close()
# 获取用户输入并查询
if __name__ == "__main__":
username_input = input("请输入用户名: ")
age_input = input("请输入年龄: ")
if age_input.isdigit(): # 检查年龄是否为数字
fetch_user_data(username_input, int(age_input))
else:
print("请输入有效的年龄(整数)")
```
### 说明
1. **参数化查询**:
- 在`cursor.execute(query, (username, age))`中,使用`%s`作为占位符,实现了参数化查询。这里的`(username, age)`元组中的数据将被安全地替换,从而避免SQL注入。
2. **输入验证**:
- 在许可证中,加入了对年龄输入的基本验证,确保输入为整数,以防止程序崩溃。
3. **异常处理**:
- 使用`try-except`块来捕获可能的错误,以便在发生错误时能进行处理,而不会导致程序直接崩溃。
4. **最终资源释放**:
- 使用`finally`块确保无论发生什么情况,游标和数据库连接都会被关闭,防止资源泄露。
这个代码段展示了如何使用符合PEP 249规范的方法安全地与数据库交互,防止SQL注入,同时确保代码的可读性和可维护性。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
