SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,

SQL注入攻击是黑客对数据库进行攻击的常用手段之一,在tornado中,使用时需要注意:

一、直接使用字符串拼接,容易发生sql注入

下图为例,当输入红色字符串时,即便用户名不对,或者用户名不存在,无需输入密码就可以登录,

二、pymysql中使用cursor.execute(str,args)的固定格式,可以避免sql注入,