Heim > Backend-Entwicklung > Python-Tutorial > SQL-Injection in der Duckdb-Abfrage im Pandas-Datenrahmen

SQL-Injection in der Duckdb-Abfrage im Pandas-Datenrahmen

WBOY
Freigeben: 2024-02-09 23:57:03
nach vorne
1302 Leute haben es durchsucht

pandas 数据帧上的 duckdb 查询中的 SQL 注入

Frageninhalt

In einem Projekt verwende ich duckdb, um einige Abfragen für einen Datenrahmen durchzuführen. Für eine der Abfragen muss ich einige Benutzereingaben zur Abfrage hinzufügen. Deshalb möchte ich wissen, ob in diesem Fall eine SQL-Injection möglich ist. Kann ein Benutzer durch Eingaben einer Anwendung oder einem System Schaden zufügen? Wenn ja, wie kann ich das verhindern? Es scheint, dass duckdb keine vorbereitete Anweisung für Datenrahmenabfragen hat.

Ich habe in der Dokumentation nachgesehen (https://duckdb.org/docs/api/python/overview.html), kann aber nichts Nützliches finden. Methode duckdb.execute(query,parameters) scheint nur mit Datenbanken mit echten SQL-Verbindungen zu funktionieren, nicht mit Datenrahmen.

Es gibt noch eine weitere Frage zu Stackoverflow zu diesem Thema (Syntax für duckdb > Python SQL mit Parametervariable), aber die Antwort funktioniert nur für echte SQL-Verbindungen und die Version mit f-Strings scheint mir unsicher zu sein.

Hier ist ein kleines Codebeispiel, um zu veranschaulichen, was ich meine:

import duckdb
import pandas as pd

df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
    
user_input = 3  # fetch some user_input here
    
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))
Nach dem Login kopieren

Wie werden Sie dieses Problem lösen? Ist SQL-Injection möglich? Vielen Dank für Ihre Hilfe. Wenn Sie weitere Informationen benötigen, können Sie jederzeit nach weiteren Einzelheiten fragen!

EDIT: Syntaxfehler im Code behoben


Richtige Antwort


Sieht aus, als wäre es möglich:

>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()

   id    student
0   3  student_b
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonSQL-Injection in der Duckdb-Abfrage im Pandas-Datenrahmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:stackoverflow.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage