Imploser en toute sécurité des listes pour les clauses MySQL IN
La sécurité de la base de données est primordiale et éviter l'injection SQL est crucial. Lorsque vous utilisez une liste de valeurs dans une clause MySQL IN, il est essentiel de le faire en toute sécurité.
Problème :
Développer une liste en une chaîne à utiliser dans un La clause IN est sensible à SQL injection.
# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)Solution :
Pour vous prémunir contre l'injection SQL, utilisez la liste de valeurs directement comme paramètres :
# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))Ceci Cette approche transmet la liste des valeurs en tant que paramètres au lieu de les intégrer dans la chaîne de requête, empêchant ainsi les attaques par injection.
En transmettant directement les données au pilote MySQL. en tant que paramètres, vous éliminez le besoin de citations et d'échappements manuels, garantissant ainsi l'intégrité des opérations de votre base de données.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment résoudre le problème selon lequel le raccourci IE ne peut pas être supprimé
Comment ignorer l'activation en ligne dans Win11
Tutoriel Java
analyses statistiques
Le système informatique est composé de
La différence entre le masque de pâte et le masque de soudure
Utilisation de la fonction MySQL dateiff
kb4012212 Que faire si la mise à jour échoue
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
