我正在阅读这个SO问题:psycopg2:insert multiple rows with one query,我发现其中包含了一个使用
由Alex Riley发布的答案代码如下:
cursor.mogrify来加速一系列sql插入的优秀答案。这让我想知道,cursor.mogrify是否能成功地避免所有的SQL注入漏洞?由Alex Riley发布的答案代码如下:
args_str = ','.join(cur.mogrify("(%s,%s,%s,%s,%s,%s,%s,%s,%s)", x) for x in tup)
cur.execute("INSERT INTO table VALUES " + args_str)
有人知道使用psychopg2的cursor.mogrify方法并在cursor.execute函数中使用字符串插值的这种方法存在哪些漏洞吗?