MySQL mysql.connector.escape_string() 函数可以避免用户输入带有特殊字符的字符串时出现语法错误或SQL注入攻击

在Python中使用MySQL数据库的时候，我们经常需要在SQL语句中使用字符串。然而，若字符串中包含了特殊字符，就有可能导致SQL注入攻击或者语法错误，因此需要进行字符转义。

在MySQL中，可以使用 mysql_real_escape_string() 函数来转义字符串，这个函数会对字符串中的特殊字符进行转义，例如单引号、双引号等。在Python中，我们可以使用 mysql-connector 模块来连接MySQL，并使用该模块提供的 escape_string() 函数进行转义。

阅读更多：MySQL 教程

使用示例

假设我们要向名为 users 的表中插入一个新用户，该用户的用户名为 Tom's，密码为 123456，我们可以使用以下代码：

import mysql.connector

cnx = mysql.connector.connect(user='user', password='password',
                              host='127.0.0.1',
                              database='dbname')
cursor = cnx.cursor()

username = "Tom's"
password = "123456"

query = "INSERT INTO users (username, password) VALUES ('{}', '{}')".format(mysql.connector.escape_string(username), mysql.connector.escape_string(password))

cursor.execute(query)
cnx.commit()

在上述代码中，使用了 mysql.connector.escape_string() 函数对字符串 username 和 password 进行了转义，并将转义后的字符串放到了SQL语句中的对应位置。

总结

在使用Python操作MySQL数据库时，对于字符串的处理需要格外注意。使用 mysql.connector.escape_string() 函数可以避免用户输入带有特殊字符的字符串时出现语法错误或SQL注入攻击。