SQL-Injection-Schutz in Python
Frage:
Zum Schutz vor SQL-Injection-Schwachstellen: Wie kann eine vom Benutzer empfangene und über JSON POST gesendete Zeichenfolge für sichere Aktualisierungsvorgänge in einer SQLite-Datenbank bereinigt werden? Python?
Antwort:
Verwendung parametrisierter Abfragen
Der empfohlene Ansatz zur Minderung des SQL-Injection-Risikos ist die Verwendung parametrisierter Abfragen . Das sqlite3-Modul von Python unterstützt dies über Platzhalterparameter (?). Anstatt Benutzereingaben direkt in der SQL-Anweisung zu verketten, werden sie als Parameter übergeben, wodurch Benutzereingaben von der SQL-Syntax getrennt werden.
Überarbeiteter Code:
def setLabel(self, userId, refId, label):
cursor = self._db.cursor()
query = """UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?"""
cursor.execute(query, (label, userId, refId))
self._db.commit()Von Bei Verwendung einer parametrisierten Abfrage werden alle potenziell schädlichen Zeichen oder Metazeichen in der Label-Eingabe automatisch maskiert, um sicherzustellen, dass sie als wörtlicher Text und nicht als SQL interpretiert werden Befehle.
Das obige ist der detaillierte Inhalt vonWie verhindert man SQL-Injection beim Aktualisieren einer SQLite-Datenbank über JSON POST in Python?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
