Lors de la récupération de données provenant de sources non fiables, telles que les entrées utilisateur, il est crucial d'empêcher les attaques par injection SQL. En Python, en utilisant SQLite, vous pouvez protéger efficacement votre base de données à l'aide de la méthode execute() du curseur.
Considérez l'extrait de code suivant :
def setLabel( self, userId, refId, label ):
self._db.cursor().execute( """
UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", ( label, userId, refId) )
self._db.commit()Dans cet exemple, l'étiquette est obtenue à partir de l'utilisateur et directement inséré dans la requête SQL. Cela expose des vulnérabilités aux attaques par injection SQL.
Pour sécuriser l'opération, utilisez la méthode execute() avec les paramètres suivants :
def setLabel( self, userId, refId, label ):
self._db.cursor().execute( """
UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",
( label, userId, refId) )
self._db.commit()Les paramètres sont automatiquement échappés par SQLite et inclus dans la requête . Cela empêche les attaquants d'injecter du code malveillant dans votre base de données. En adoptant cette méthode, vous pouvez protéger efficacement votre application contre les attaques par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Introduction au protocole xmpp
Comment ouvrir la fenêtre du terminal dans vscode
Comment modifier le registre
Comment définir le retour à la ligne automatique dans Word
Comment créer une page Web en python
l'espacement des lettres
Que signifie le concept de métaverse ?
La différence entre ipv4 et ipv6
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
