香港云主机最佳企业级服务商!

ADSL拨号VPS包含了中国大陆(联通,移动,电信,)

中国香港,国外拨号VPS。

当前位置:云主机 > python >

电信ADSL拨号VPS
上饶电信拨号VPS
洛阳电信拨号VPS
威海电信拨号VPS
济南电信拨号VPS
九江电信拨号VPS
厦门电信拨号VPS
邢台电信拨号VPS
湖州电信拨号VPS
绍兴电信拨号VPS
宁波电信拨号VPS
温州电信拨号VPS
杭州电信拨号VPS
郑州电信拨号VPS
铜陵电信拨号VPS
池州电信拨号VPS
黄山电信拨号VPS
十堰电信拨号VPS
荆门电信拨号VPS
莆田电信拨号VPS
三明电信拨号VPS
永州电信拨号VPS
张家界电信拨号VPS
常德电信拨号VPS
昆明电信拨号VPS
丽江电信拨号VPS
马鞍山电信拨号VPS
宣城电信拨号VPS
合肥电信拨号VPS
淮北电信拨号VPS
泰州电信拨号VPS
南通电信拨号VPS
南京电信拨号VPS
扬州电信拨号VPS
宿迁电信拨号VPS
镇江电信拨号VPS
苏州电信拨号VPS
淮安电信拨号VPS
盐城电信拨号VPS
包头电信拨号VPS
海口电信拨号VPS
江门电信拨号VPS
眉山电信拨号VPS
德阳电信拨号VPS
衢州电信拨号VPS
上海电信拨号VPS
桂林电信拨号VPS
成都电信拨号VPS
鞍山电信拨号VPS
福州电信拨号VPS
柳州电信拨号VPS
无锡电信拨号VPS
乌兰察布电信拨号VPS
深圳电信拨号VPS
河源电信拨号VPS
秦皇岛电信拨号VPS
徐州电信拨号VPS
台州电信拨号VPS
芜湖电信拨号VPS
蚌埠电信拨号VPS
潮州电信拨号VPS
重庆电信拨号VPS
连云港电信拨号VPS
绵阳电信拨号VPS
泰安电信拨号VPS
晋城电信拨号VPS
广州电信拨号VPS
联通ADSL拨号VPS
北京联通拨号VPS
滨州联通拨号VPS
莱芜联通拨号VPS
鞍山联通拨号VPS
连云港联通拨号VPS
海口联通拨号VPS
徐州联通拨号VPS
重庆联通拨号VPS
上海联通拨号VPS
西昌联通拨号VPS
南充联通拨号VPS
枣庄联通拨号VPS
抚顺联通拨号VPS
唐山联通拨号VPS
保定联通拨号VPS
廊坊联通拨号VPS
武汉联通拨号VPS
泰安联通拨号VPS
雅安联通拨号VPS
盘锦联通拨号VPS
泰州联通拨号VPS
移动ADSL拨号VPS
盐城移动拨号VPS
莱芜移动拨号VPS

Python操作sqlite3快速、安全插入数据(防注入)的实例


时间:2021-02-07 11:23 作者:admin610456



table通过使用下面语句创建:
复制代码 代码如下:create table userinfo(name text, email text)

更快地插入数据

在此用time.clock()来计时,看看以下三种方法的速度。
复制代码 代码如下:
import sqlite3
import time

def create_tables(dbname):
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
cursor.execute('''create table userinfo(name text, email text)''')
conn.commit()
cursor.close()
conn.close()
def drop_tables(dbname):
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
cursor.execute('''drop table userinfo''')
conn.commit()
cursor.close()
conn.close()

def insert1():
users = [('qq','qq@example.com'),
('ww','ww@example.com'),
('ee','ee@example.com'),
('rr','rr@example.com'),
('tt','tt@example.com'),
('yy','yy@example.com'),
('uu','uu@example.com')
]
start = time.clock()
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
for user in users:
cursor.execute("insert into userinfo(name, email) values(?, ?)", user)
conn.commit()
cursor.close()
conn.close()
end = time.clock()
print start, end, end-start

def insert2():
users = [('qq','qq@example.com'),
('ww','ww@example.com'),
('ee','ee@example.com'),
('rr','rr@example.com'),
('tt','tt@example.com'),
('yy','yy@example.com'),
('uu','uu@example.com')
]
start = time.clock()
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
for user in users:
cursor.execute("insert into userinfo(name, email) values(?, ?)", user)
conn.commit()
cursor.close()
conn.close()
end = time.clock()
print start, end, end-start

def insert3():
users = [('qq','qq@example.com'),
('ww','ww@example.com'),
('ee','ee@example.com'),
('rr','rr@example.com'),
('tt','tt@example.com'),
('yy','yy@example.com'),
('uu','uu@example.com')
]
start = time.clock()
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
cursor.executemany("insert into userinfo(name, email) values(?, ?)", users)
conn.commit()
cursor.close()
conn.close()
end = time.clock()
print start, end, end-start

if __name__ == '__main__':
dbname = 'test.db'
create_tables(dbname)
insert1()
drop_tables(dbname)
create_tables(dbname)
insert2()
drop_tables(dbname)
create_tables(dbname)
insert3()
drop_tables(dbname)

某次运行结果:
复制代码 代码如下:
4.05223164501e-07 0.531585119557 0.531584714334
0.755963264089 0.867329935942 0.111366671854
1.0324360882 1.12175173111 0.0893156429109
另外一次运行结果:
复制代码 代码如下:
4.05223164501e-07 0.565988971446 0.565988566223
0.768132520942 0.843723660494 0.0755911395524
1.04367819446 1.13247636739 0.0887981729298
在运行结果中,第三列表示插入数据使用的时间。综合看来,方法insert1()的速度很慢,原因在于每次insert都commit()。

更安全地操作数据库

先上代码:
复制代码 代码如下:
import sqlite3

def create_tables(dbname):
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
cursor.execute('''create table userinfo(name text, email text)''')
conn.commit()
cursor.close()
conn.close()

def drop_tables(dbname):
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
cursor.execute('''drop table userinfo''')
conn.commit()
cursor.close()
conn.close()

def insert():
users = [('qq','qq@example.com'),
('ww','ww@example.com'),
('ee','ee@example.com'),
('rr','rr@example.com'),
('tt','tt@example.com'),
('yy','yy@example.com'),
('uu','uu@example.com')
]
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
cursor.executemany("insert into userinfo(name, email) values(?, ?)", users)
conn.commit()
cursor.close()
conn.close()

def insecure_select(text):
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
print "select name from userinfo where email='%s'" % text
for row in cursor.execute("select name from userinfo where email='%s'" % text):
print row
def secure_select(text):
conn = sqlite3.connect(dbname)
cursor = conn.cursor()
print "select name from userinfo where email='%s'" % text
for row in cursor.execute("select name from userinfo where email= ? ", (text,)):
print row

if __name__ == '__main__':
dbname = 'test.db'
create_tables(dbname)
insert()
insecure_select("uu@example.com")
insecure_select("' or 1=1;--")
secure_select("uu@example.com")
secure_select("' or 1=1;--")
drop_tables(dbname)

运行结果:
复制代码 代码如下:
select name from userinfo where email='uu@example.com'
(u'uu',)
select name from userinfo where email='' or 1=1;--'
(u'qq',)
(u'ww',)
(u'ee',)
(u'rr',)
(u'tt',)
(u'yy',)
(u'uu',)
select name from userinfo where email='uu@example.com'
(u'uu',)
select name from userinfo where email='' or 1=1;--'

函数insecure_select(text)和secure_select(text)的本意都是根据email获取对应的用户名信息。但是insecure_select(text)的实现容易引起sql注入。

insecure_select("' or 1=1;--")便是一个例子。在insecure_select()中cursor.execute()只有一个参数,即sql语句,这个生成的sql语句如果有问题,还是会照常执行。

secure_select(text)的实现可以防止sql注入,cursor.execute()的第一个参数使用了占位符?表示要被替代的内容,第二个参数指定每个占位符对应的值,在底层实现上,这种方法(至少)转义了特殊字符,可以防止sql注入。

(责任编辑:admin)






帮助中心
会员注册
找回密码
新闻中心
快捷通道
域名登录面板
虚机登录面板
云主机登录面板
关于我们
关于我们
联系我们
联系方式

售前咨询:17830004266(重庆移动)

企业QQ:383546523

《中华人民共和国工业和信息化部》 编号:ICP备00012341号

Copyright © 2002 -2018 香港云主机 版权所有
声明:香港云主机品牌标志、品牌吉祥物均已注册商标,版权所有,窃用必究

云官方微信

在线客服

  • 企业QQ: 点击这里给我发消息
  • 技术支持:383546523

  • 公司总台电话:17830004266(重庆移动)
  • 售前咨询热线:17830004266(重庆移动)