sql注入问题:
利用特殊符号和注释语法 巧妙地绕过真正的sql校验
解决方法:
关键的数据,不要自己手动去拼接,而是交友execute帮你去做拼接。
import pymysql
conn = pymysql.connect(
user = 'root',
passwd = '123456',
db = 'day36',
host = '127.0.0.1',port = 3306,
charset = 'utf8')
cursor = conn.cursor(cursor = pymysql.cursor.DictCursor)
# 获取用户输入的用户名密码 然后取数据库中校验
username = input('username>>>:').strip()
password = input('password>>>:').strip()
# sql = 'select * from userinfo where name=%s and password= %s'
cursor.execute(sql,(username, password))
res = cursor.fetchall()
if res:
print(res)
else:
print('username or password error!')