パラメータ化された SQL ステートメントを使用した SQLAlchemy Connection.execute()
SQLAlchemy の connection.execute() メソッドを使用すると、開発者は SQL ステートメントを実行して、結果をマップの配列に変換します。パラメータ置換に文字列フォーマットを使用するのは一般的な方法ですが、セキュリティ上のリスクが生じ、柔軟性が制限されます。
コードのセキュリティを強化し、パラメータ化を有効にするには、sqlalchemy.sql.text() 関数を利用してパラメータ化されたテキストを作成できます。 SQL ステートメント。このアプローチにより、バインド パラメーターが正しく処理され、SQL インジェクション攻撃のリスクが軽減されます。
質問で提供されている __sql_to_data() 関数にパラメーター化を組み込むには、関数を次のように変更します。
def __sql_to_data(sql_text, parameters): result = [] connection = engine.connect() try: rows = connection.execute(sql_text, parameters) for row in rows: result_row = {} for col in row.keys(): result_row[str(col)] = str(row[col]) result.append(result_row) finally: connection.close() return result
sql_text パラメータは、sqlalchemy.sql.text() を通じて解析された SQL ステートメントである必要があり、parameters パラメータは置換する値を含む辞書。
今度は、文字列フォーマットを使用してパラメータを挿入する代わりに、辞書をexecute() メソッドに渡すことができます。
return __sql_to_data(sql_get_profile, {'user_id': user_id})
このアプローチでは、 SQLAlchemy の connection.execute() メソッドでパラメータを渡す安全かつ柔軟な方法。
以上がパラメータ化された SQL ステートメントで SQLAlchemy の Connection.execute() を安全に使用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。