Python で MySQL クエリを SQL インジェクションから保護するにはどうすればよいですか?

SQL インジェクションを防ぐために Python で MySQL クエリを保護する

Python から MySQL データベースにクエリを実行する場合、SQL インジェクション攻撃を防ぐことが重要です。これには、ユーザー指定の変数がクエリ構造に干渉しないようにすることが含まれます。

変数のプレースホルダーとして %s を指定した「execute」関数を使用して、パラメーター化されたクエリを実行します。実行する 2 番目のパラメーターとして変数をリストまたはタプルとして渡します。

c = db.cursor()
max_price = 5
c.execute("SELECT spam, eggs, sausage FROM breakfast WHERE price < %s", (max_price,))

% を使用した直接文字列置換は避けてください。代わりに、プレースホルダーとしてカンマを使用します。

c.execute("SELECT spam, eggs, sausage FROM breakfast WHERE price < %s", (max_price,))

パラメーターが文字列の場合は、プレースホルダーを一重引用符で囲まないでください。

c.execute("SELECT spam, eggs, sausage FROM breakfast WHERE price < %s", (max_price,))

次のベスト プラクティスに従うことで、次のことが可能になります。 SQL インジェクション攻撃のリスクを軽減し、Python での MySQL 接続のセキュリティを確保します。

以上がPython で MySQL クエリを SQL インジェクションから保護するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。