Ich schreibe eine Hilfsfunktion für meine Webanwendung, die die Datenbank basierend auf einigen Informationen aktualisiert, die von einer externen API erhalten wurden (keine Benutzereingaben). Ich habe den folgenden Code, aber er wird vom Bandit-Python-Paket als „unsicher“ markiert.
Idealerweise könnte ich eine Funktion so schreiben, dass die zu aktualisierenden Spalten fest codiert werden, aber ich denke, es sollte auch möglich sein, dies dynamisch zu tun.
Ist dies eine sichere Möglichkeit, eine Tabelle zu aktualisieren (keine SQL-Injection möglich)?
import mysql.connector as database def update_message_by_uid(uid: str, update_dict: dict) -> None: # Fetches the previous entry from the database using the unique identifier message_info_dict = get_message_by_uid(uid) # check that all the keys of the update dict are also in the original dict assert set(update_dict.keys()) <= set( message_info_dict.keys() ), "Some of the keys in the dictionary passed are not valid database columns" # We update the entry for all entries in the dictionary containing the updates statement = 'UPDATE messages SET {} WHERE uid = %s'.format(", ".join('{}=%s'.format(k) for k in update_dict)) # Concatenates the values of the dict with the unique identifier to pass it to the execution method as one variable data = list(update_dict.values()) + [uid] cursor.execute(statement, data)
您应该将列名放在反引号中,以防列名是 SQL 保留关键字 或包含空格、标点符号或国际字符。还要确保列名称中的反引号字符替换为两个反引号。
我更喜欢使用 f 字符串而不是 format()。