


Comment transmettre en toute sécurité des paramètres à la méthode « connection.execute » de SQLAlchemy ?
Jan 04, 2025 am 08:11 AMPasser des paramètres dans la méthode connection.execute de SQLAlchemy
L'extrait de code fourni récupère les données d'une requête SQL à l'aide de la méthode connection.execute et convertit le résultat en un tableau de des cartes. Cependant, le paramétrage est actuellement géré par le formatage de chaîne, ce qui présente un risque de sécurité.
Pour résoudre ce problème, la fonction text() de SQLAlchemy peut être utilisée pour générer des requêtes SQL paramétrées. Cette fonction prend une chaîne SQL comme argument et permet d'utiliser des paramètres de mots-clés pour spécifier des valeurs lors de l'exécution.
Voici une version mise à jour du code :
def __sql_to_data(sql, values): result = [] connection = engine.connect() try: # Convert SQL to parametrized SQL sql_text = sql.text(sql) rows = connection.execute(sql_text, values) for row in rows: result_row = {} for col in row.keys(): result_row[str(col)] = str(row[col]) result.append(result_row) finally: connection.close() return result
Dans ce code mis à jour :
- La chaîne SQL (sql) est passée à text() pour créer un objet SQL paramétré (sql_text).
- Des paramètres de mots clés (valeurs) sont fournis à la méthode d'exécution pour remplacer les espaces réservés dans la chaîne SQL.
Vous pouvez désormais paramétrer votre SQL sans sacrifier la sécurité en utilisant __sql_to_data(sql, valeurs):
sql = 'SELECT ... WHERE user_id = :user_id' values = { 'user_id' : 3 } results = __sql_to_data(sql, values)
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Article chaud

Outils chauds Tags

Article chaud

Tags d'article chaud

Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

Dreamweaver CS6
Outils de développement Web visuel

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Sujets chauds

Réduisez l'utilisation de la mémoire MySQL dans Docker

Comment modifier une table dans MySQL en utilisant l'instruction ALTER TABLE?

Comment résoudre le problème de MySQL ne peut pas ouvrir la bibliothèque partagée

Exécutez MySQL dans Linux (avec / sans conteneur Podman avec phpmyadmin)

Exécuter plusieurs versions MySQL sur macOS: un guide étape par étape

Comment sécuriser MySQL contre les vulnérabilités communes (injection SQL, attaques par force brute)?

Comment configurer le cryptage SSL / TLS pour les connexions MySQL?
