目标:
    1:掌握什么是SQL注入
    2:掌握怎么防止SQL注入


    一:什么是SQL注入

    答:在查询数据库数据操作时,当别人在输入一些特殊的字符串的时候,可能会获得我们数据库里面的大量数据,但是这些数据我们是不想让它获取的,这样就造成了数据泄露,也称为SQL注入

    二:怎么防止SQL注入

    实现点:在利用 cursor 通信兵对象的 execute 方法时,向这个方法内传入第二个参数可有效防止SQL注入(占位符)

    实现语法:num_result = cur_obj.execute(SQL语句,params) 其中params 是一个列表参数,列表内存放着SQL语句要查询的字段名或其他参数

    注意:参数列表中可以有多个参数,因此SQL语句中也要有多个占位符与其一一对应,

    代码演示:

    image.png