ホームページ > バックエンド開発 > Python チュートリアル > SQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?

SQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?

Patricia Arquette
リリース: 2024-11-09 02:54:02
オリジナル
325 人が閲覧しました

How to Safely Create Tables with Dynamic Names in SQLite?

SQLite の変数テーブル名

SQLite では、次の名前でテーブルを動的に作成する必要がある状況が発生することがあります。変数。この目的で文字列コンストラクターを使用するのが一般的ですが、SQL インジェクション攻撃の可能性があるため、セキュリティ上の懸念が生じます。

残念ながら、SQLite ではテーブル名のパラメーター置換は許可されていません。ただし、ベスト プラクティスでは、インジェクション攻撃を防ぐためにパラメータ置換を使用することが求められます。

代替解決策: 変数のスクラブ

テーブル名を直接パラメータ化できないため、実行可能な解決策は、テーブル名を含む変数を CREATE TABLE ステートメントに渡す前にスクラブすることです。

英数字を除くすべての文字を削除して変数をクリーンアップする関数を作成できます。たとえば、次の Python 関数は、句読点、空白、およびその他の英数字以外の文字を削除します。

def scrub(table_name):
    return ''.join( chr for chr in table_name if chr.isalnum() )

scrub('); drop tables --') # returns 'droptables'
ログイン後にコピー

この関数を使用すると、変数テーブル名でテーブルを作成し、悪意のある文字が確実に削除されます。 、インジェクション攻撃の防止:

table_name = 'StarFrame' + self.name
cursor.execute('CREATE TABLE {} (etc etc)'.format(scrub(table_name)))
ログイン後にコピー

以上がSQLite で動的な名前を持つテーブルを安全に作成するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート