développement back-end
Tutoriel Python
Injection SQL dans la requête duckdb sur la trame de données pandas
Injection SQL dans la requête duckdb sur la trame de données pandas
Dans un projet, j'utilise duckdb pour effectuer quelques requêtes sur une trame de données. Pour l'une des requêtes, je dois ajouter une entrée utilisateur à la requête. C'est pourquoi je veux savoir si l'injection SQL est possible dans ce cas. Un utilisateur peut-il endommager une application ou un système via une entrée ? Si oui, comment puis-je empêcher que cela se produise ? Il semble que duckdb n'ait pas d'instruction préparée pour les requêtes de trames de données.
J'ai regardé dans la documentation (https://duckdb.org/docs/api/python/overview.html) mais je n'ai rien trouvé d'utile. La méthode duckdb.execute(query,parameters) semble fonctionner uniquement avec des bases de données avec de vraies connexions SQL, pas des dataframes.
Il y a une autre question sur stackoverflow à propos de ce sujet (syntaxe pour duckdb > python sql avec variable de paramètre), mais la réponse ne fonctionne que pour les connexions SQL réelles, et la version avec des chaînes f me semble dangereuse.
Voici un petit exemple de code pour illustrer ce que je veux dire :
import duckdb
import pandas as pd
df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
user_input = 3 # fetch some user_input here
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))Alors, comment allez-vous résoudre ce problème ? L’injection SQL est-elle possible ? Merci pour votre aide et si vous avez besoin de plus d'informations, n'hésitez pas à demander plus de détails !
EDIT : Correction d'une erreur de syntaxe dans le code
Bonne réponse
On dirait que c'est possible :
>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()
id student
0 3 student_bCe qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
1659
14
1416
52
1310
25
1259
29
1233
24
La production de pages H5 est-elle un développement frontal?
Apr 05, 2025 pm 11:42 PM
Oui, la production de pages H5 est une méthode de mise en œuvre importante pour le développement frontal, impliquant des technologies de base telles que HTML, CSS et JavaScript. Les développeurs construisent des pages H5 dynamiques et puissantes en combinant intelligemment ces technologies, telles que l'utilisation du & lt; Canvas & gt; Tag pour dessiner des graphiques ou utiliser JavaScript pour contrôler le comportement d'interaction.
Comment personnaliser le symbole de redimensionnement via CSS et le rendre uniforme avec la couleur d'arrière-plan?
Apr 05, 2025 pm 02:30 PM
La méthode de personnalisation des symboles de redimension dans CSS est unifiée avec des couleurs d'arrière-plan. Dans le développement quotidien, nous rencontrons souvent des situations où nous devons personnaliser les détails de l'interface utilisateur, tels que l'ajustement ...
Comment contrôler le haut et la fin des pages dans les paramètres d'impression du navigateur via JavaScript ou CSS?
Apr 05, 2025 pm 10:39 PM
Comment utiliser JavaScript ou CSS pour contrôler le haut et la fin de la page dans les paramètres d'impression du navigateur. Dans les paramètres d'impression du navigateur, il existe une option pour contrôler si l'écran est ...
Pourquoi les éléments de blocage en ligne sont-ils mal alignés? Comment résoudre ce problème?
Apr 04, 2025 pm 10:39 PM
Concernant les raisons et les solutions pour l'affichage mal aligné des éléments de blocage en ligne. Lors de la mise en page de la page Web, nous rencontrons souvent des problèmes d'affichage apparemment étranges. Comparer...
Comment utiliser l'attribut Clip-Path de CSS pour réaliser l'effet de courbe à 45 degrés du segmenter?
Apr 04, 2025 pm 11:45 PM
Comment réaliser l'effet de courbe à 45 degrés du segmenter? Dans le processus de mise en œuvre du segmentant, comment faire transformer la bordure droite en une courbe de 45 degrés lorsque vous cliquez sur le bouton gauche, et le point ...
Le dernier prix du bitcoin en 2018-2024 USD
Feb 15, 2025 pm 07:12 PM
Prix USD Bitcoin en temps réel Facteurs qui affectent le prix du bitcoin Indicateurs pour prédire les prix des futurs bitcoins Voici quelques informations clés sur le prix du bitcoin en 2018-2024:
Comment réaliser l'effet de segmentation avec une bordure de courbe de 45 degrés?
Apr 04, 2025 pm 11:48 PM
Conseils pour implémenter les effets des segments dans la conception de l'interface utilisateur, le segmenter est un élément de navigation commun, en particulier dans les applications mobiles et les pages Web réactives. ...
Comment compatible avec l'omission de débordement multi-lignes sur le terminal mobile?
Apr 05, 2025 pm 10:36 PM
Problèmes de compatibilité du débordement multi-rangs sur le terminal mobile omis sur différents appareils Lors du développement d'applications mobiles à l'aide de Vue 2.0, vous rencontrez souvent la nécessité de déborder de texte ...
