Python如何防止SQL注入？参数化查询的原理是什么

来源：站长工具作者：松本一香头衔：网络博主

导读：本期聚焦于小伙伴创作的《Python如何防止SQL注入？参数化查询的原理是什么》，敬请观看详情，探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《Python如何防止SQL注入？参数化查询的原理是什么》有用，将其分享出去将是对创作者最好的鼓励。

在Python开发中操作数据库时，SQL注入是最常见的安全漏洞之一，而参数化查询是官方推荐的防范手段。理解参数化查询的原理，能帮助开发者从根源上规避这类风险，写出更安全的数据库交互代码。

什么是SQL注入

SQL注入的本质是用户输入的内容被当作SQL语句的一部分执行，导致攻击者可以篡改原有查询逻辑。比如下面这段存在风险的代码：

import sqlite3

user_input = "admin' OR '1'='1"  # 模拟攻击者的恶意输入
conn = sqlite3.connect("test.db")
cursor = conn.cursor()
# 直接拼接用户输入到SQL语句中，存在注入风险
sql = f"SELECT * FROM users WHERE username = '{user_input}' AND password = '123456'"
cursor.execute(sql)
print(cursor.fetchall())

这段代码的SQL语句会被拼接为SELECT * FROM users WHERE username = 'admin' OR '1'='1' AND password = '123456'，由于'1'='1'恒成立，攻击者不需要正确密码就能查到所有用户数据，这就是典型的SQL注入漏洞。

Python中参数化查询的使用方法

Python的数据库API规范（PEP 249）要求所有数据库驱动都支持参数化查询，不同驱动的占位符格式略有区别，常见的有以下几种：

sqlite3、psycopg2（PostgreSQL驱动）使用?作为占位符
mysql-connector-python使用%s作为占位符
pyodbc使用?作为占位符

用参数化查询改写上面的风险代码，示例如下：

import sqlite3

user_input = "admin' OR '1'='1"
conn = sqlite3.connect("test.db")
cursor = conn.cursor()
# 使用参数化查询，用?作为占位符，参数通过元组传入
sql = "SELECT * FROM users WHERE username = ? AND password = ?"
cursor.execute(sql, (user_input, "123456"))
print(cursor.fetchall())

此时即使输入包含恶意字符，查询也不会返回非预期的结果，因为参数化查询会把用户输入当作纯数据处理，不会解析其中的SQL语法。

参数化查询的防注入原理

参数化查询能防止SQL注入，核心原因是它实现了SQL逻辑和用户输入数据的分离，整个过程分为两步：

1. 预编译SQL语句

数据库驱动会先把包含占位符的SQL语句发送给数据库服务器，服务器会对这条语句进行语法解析、编译，生成执行计划，这个过程只处理SQL的逻辑结构，不会处理具体的参数值。比如上面的查询语句，数据库只会识别到这是一个查询users表的SELECT语句，有两个过滤条件，分别对应两个占位符，不会去解析后续传入的参数内容。

2. 绑定参数执行

编译完成后，驱动再把用户输入的参数值发送给数据库，数据库会把参数值当作纯数据绑定到预编译好的执行计划中，不会把参数内容当作SQL语句的一部分来解析。即使参数里包含单引号、OR等SQL关键字，也只会被当作普通的字符串数据处理，不会修改原有的查询逻辑。

不同数据库驱动的参数化查询示例

为了适配不同的数据库，下面给出MySQL和PostgreSQL的参数化查询示例：

MySQL示例

import mysql.connector

conn = mysql.connector.connect(
    host="127.0.0.1",
    user="root",
    password="123456",
    database="test"
)
cursor = conn.cursor()
user_input = "test_user"
# MySQL驱动使用%s作为占位符
sql = "INSERT INTO users (username) VALUES (%s)"
cursor.execute(sql, (user_input,))
conn.commit()

PostgreSQL示例

import psycopg2

conn = psycopg2.connect(
    host="127.0.0.1",
    user="postgres",
    password="123456",
    database="test"
)
cursor = conn.cursor()
user_input = "test_user"
# psycopg2使用%s作为占位符
sql = "INSERT INTO users (username) VALUES (%s)"
cursor.execute(sql, (user_input,))
conn.commit()

注意事项

使用参数化查询时需要注意，占位符只能用来替换数据值，不能用来替换表名、字段名等SQL结构部分。如果需要动态指定表名或字段名，要对输入的内容做严格的白名单校验，避免直接拼接用户输入。

另外不要误以为用字符串转义函数处理输入就等同于参数化查询，转义函数只是对特殊字符做替换，仍然存在被绕过的风险，参数化查询才是从数据库交互机制层面解决注入问题的根本方案。

Python SQL注入参数化查询数据库安全修改时间：2026-06-09 01:24:23

免责声明：已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰，观点力求客观中立。本站旨在免费分享，内容仅供个人学习、研究或参考使用。若引用了第三方作品，版权归原作者所有。如内容涉及您的权益，请联系我们处理。