format函数可以预防注入攻击吗

format函数可以预防注入攻击吗，如果可以，怎么实现

源自：MySQL与Python交互 2-4 实战：SQL注入攻击案例

收起

1回答

好帮手慕美 2019-09-06 13:38:35

同学，你好。是不可以的。使用format和讲的%(username,password)是类似的，不会预防注入攻击的。

如果我的回答解决了您的疑惑，请采纳！祝学习愉快~~~~

lin丶林 #1

预编译机制：就是用字符串占位符%s代替字符串连接吗？两种情况： 1.占位符%s代替字符串变量，sql语句仅有字符串，没有变量，可以被MySQL预编译。 2.sql语句（字符串+字符串变量），不能被MySQL预编译成二进制,可以防止注入攻击？是这个意思？

2019-10-18 18:35:00
好帮手慕美回复 lin丶林 #2

同学，你好。同学是可以这么理解的。预编译机制是先将带有占位符（%s）的sql模板发送至mysql服务器，由服务器对此无参数的sql进行编译后，将编译结果缓存，然后直接执行带有真实参数的sql。一次编译、多次运行。祝学习愉快~~~~

2019-10-21 10:02:47