mysql怎么避免sql注入

在Web开发中，SQL注入攻击是一种非常常见和危险的攻击方式。这种攻击可以通过恶意构造的输入参数来执行恶意SQL语句，从而对网站的数据库进行入侵或者破坏操作。MySQL作为广泛使用的关系型数据库管理系统，也需要采取措施来防止SQL注入攻击。下面是一些常见的防止MySQL SQL注入攻击的技术向措施。

1.使用参数化查询

使用参数化查询是一种有效的方式来避免SQL注入攻击。当使用参数化查询时，SQL语句模板中的变量会被替换为预先编译的参数。这些参数值由程序代码动态生成，并且在执行查询时会被以安全的方式传递到数据库，因此可以避免因用户输入不当而导致的SQL注入攻击。下面是一个使用MySQL Prepared Statements实现参数化查询的示例：

import mysql.connector

db = mysql.connector.connect(user='user', password='password', host='localhost', database='database')

cursor = db.cursor()

# 使用参数化查询
query = "SELECT * FROM users WHERE username = %s AND password = %s"
params = ('admin', 'password')

cursor.execute(query, params)

results = cursor.fetchall()

在这个例子中，通过在SQL语句模板中使用占位符（%s）来代表参数，然后在执行查询时将参数以元组（params）的形式传递到execute()方法中。通过这种方式，可以避免SQL注入攻击，同时保护数据库的安全。

2.输入数据过滤

另一种防止SQL注入攻击的方法是对用户输入进行过滤和验证。这种方法可以确保只有合法、安全的数据才会被传递到数据库中。下面是一个简单的示例，使用Python的re模块实现基本的数据过滤功能：

import re

def sanitize(user_input):
    # 只允许字母、数字和特定的符号
    allowed_chars = re.compile(r'[^a-zA-Z0-9_-]+')
    return allowed_chars.sub('', user_input)

# 过滤用户输入
username = sanitize(input('请输入用户名：'))
password = sanitize(input('