Comment puis-je utiliser en toute sécurité Connection.execute() de SQLAlchemy avec des instructions SQL paramétrées ?

SQLAlchemy Connection.execute() avec des instructions SQL paramétrées

La méthode connection.execute() de SQLAlchemy permet aux développeurs d'exécuter des instructions SQL et de transformer le donne lieu à un ensemble de cartes. Bien que l'utilisation du formatage de chaîne pour la substitution de paramètres soit une pratique courante, elle présente des risques de sécurité et limite la flexibilité.

Pour améliorer la sécurité du code et activer le paramétrage, vous pouvez utiliser la fonction sqlalchemy.sql.text() pour créer un fichier paramétré. Instruction SQL. Cette approche garantit que les paramètres de liaison sont correctement gérés, réduisant ainsi le risque d'attaques par injection SQL.

Pour incorporer le paramétrage dans la fonction __sql_to_data() fournie dans la question, modifiez-la comme suit :

def __sql_to_data(sql_text, parameters):
    result = []
    connection = engine.connect()
    try:
        rows = connection.execute(sql_text, parameters)
        for row in rows:
            result_row = {}
            for col in row.keys():
                result_row[str(col)] = str(row[col])
            result.append(result_row)
    finally:
        connection.close()
    return result

Le paramètre sql_text doit être l'instruction SQL analysée via sqlalchemy.sql.text(), et le paramètre settings est un dictionnaire contenant les valeurs à substitué.

Maintenant, au lieu d'utiliser le formatage de chaîne pour insérer des paramètres, vous pouvez transmettre le dictionnaire à la méthode execute() :

return __sql_to_data(sql_get_profile, {'user_id': user_id})

Cette approche fournit un moyen sécurisé et flexible de transmettre paramètres dans la méthode connection.execute() de SQLAlchemy.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!