SQLAlchemy Connection.execute() mit parametrisierten SQL-Anweisungen
Mit der Methode „connection.execute()“ von SQLAlchemy können Entwickler SQL-Anweisungen ausführen und transformieren Ergebnisse in eine Reihe von Karten. Die Verwendung von Zeichenfolgenformatierung zur Parameterersetzung ist zwar eine gängige Praxis, birgt jedoch Sicherheitsrisiken und schränkt die Flexibilität ein.
Um die Codesicherheit zu erhöhen und die Parametrisierung zu ermöglichen, kann man die Funktion sqlalchemy.sql.text() verwenden, um einen parametrisierten Code zu erstellen SQL-Anweisung. Dieser Ansatz stellt sicher, dass Bindungsparameter korrekt verarbeitet werden, wodurch das Risiko von SQL-Injection-Angriffen verringert wird.
Um die Parametrisierung in die in der Frage bereitgestellte Funktion __sql_to_data() zu integrieren, ändern Sie sie wie folgt:
def __sql_to_data(sql_text, parameters):
result = []
connection = engine.connect()
try:
rows = connection.execute(sql_text, parameters)
for row in rows:
result_row = {}
for col in row.keys():
result_row[str(col)] = str(row[col])
result.append(result_row)
finally:
connection.close()
return resultDer sql_text-Parameter sollte die durch sqlalchemy.sql.text() analysierte SQL-Anweisung sein, und der Parameter-Parameter ist ein Wörterbuch, das die zu verwendenden Werte enthält ersetzt.
Anstatt nun die Zeichenfolgenformatierung zum Einfügen von Parametern zu verwenden, können Sie das Wörterbuch jetzt an die Methodeexecute() übergeben:
return __sql_to_data(sql_get_profile, {'user_id': user_id})Dieser Ansatz bietet eine sichere und flexible Möglichkeit zur Übergabe Parameter in der Methode „connection.execute()“ von SQLAlchemy.
Das obige ist der detaillierte Inhalt vonWie kann ich Connection.execute() von SQLAlchemy sicher mit parametrisierten SQL-Anweisungen verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
