pandasデータフレームのduckdbクエリでのSQLインジェクション

質問の内容

プロジェクトで、duckdb を使用してデータフレームに対していくつかのクエリを実行しています。クエリの 1 つでは、クエリにユーザー入力を追加する必要があります。そのため、この場合に SQL インジェクションが可能かどうかを知りたいのです。ユーザーは入力を通じてアプリケーションやシステムに損害を与える可能性がありますか?もしそうなら、どうすればこれを防ぐことができますか? duckdbにはデータフレームクエリ用のpreparedstatementがないようです。

ドキュメント (https://duckdb.org/docs/api/python/overview.html) を調べましたが、役立つものは見つかりませんでした。メソッド duckdb.execute(query,parameters) は、データフレームではなく、実際の SQL 接続を持つデータベースでのみ機能するようです。

このトピックに関する stackoverflow に関する質問もあります (duckdb の構文 > パラメーター\変数を使用した Python SQL) ですが、答えは実際の SQL 接続でのみ機能し、f-strings を使用したバージョンは安全ではないように思えました。

ここで私が言いたいことを説明するための小さなコード例を示します:

リーリー

それでは、この問題をどのように解決しますか? SQLインジェクションは可能でしょうか？ご協力ありがとうございます。さらに詳しい情報が必要な場合はお気軽にお問い合わせください。

編集: コードの構文エラーを修正しました

正解

可能性があるようです:

リーリー

以上がpandasデータフレームのduckdbクエリでのSQLインジェクションの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。