psychopg2: cursor.mogrify是否阻止sql注入？

Question

这让我想知道，cursor.mogrify是否成功逃脱了所有的sql注入漏洞？

Alex Riley发布的答案代码如下：

args_str = ','.join(cur.mogrify("(%s,%s,%s,%s,%s,%s,%s,%s,%s)", x) for x in tup)
cur.execute("INSERT INTO table VALUES " + args_str) 

有没有人知道这种方法有任何漏洞，这种方法使用了method opg2的cursor.mogrify方法，然后在cursor.execute函数中使用字符串插值，如下所示？

Answer 1

psycopg2根本不使用服务器端预准备语句和绑定参数。它实际上通过字符串插值执行所有查询，但它仔细遵守引用规则，并以安全的方式执行。

cursor.mogrify只是一个手动调用，它使用的逻辑与psycopg2在将SQL字符串发送到服务器之前自己将参数插入到SQL字符串中所使用的逻辑完全相同。

这样做是安全的。只需确保你的代码有注释，解释你为什么要这么做，为什么它是安全的。

然而，就我个人而言，我建议避免使用这种方法，而是使用它的COPY support。