我想将数据库作为参数传递
sql = 'SELECT * FROM %s.table1'
values = 'db-1'
cursor.execute(sql, values)
问题是%s使用单引号引起来并且会产生错误:
错误代码:1064。您的SQL语法有错误;检查 与您的MySQL服务器版本相对应的手册 在第1行的“ qualys_scan'.new_table”附近使用的语法
另一方面,使用简单的参数替换:
'SELECT * FROM%s.table1'.format(values)
可通过sql注入加以利用。
任何建议如何处理? 不同的mysql模块的方法也会有所帮助
问候,贾诺