MySQL IN 절에 목록을 안전하게 삽입하는 방법은 무엇입니까?

MySQL IN 절에 안전하게 목록 삽입

이 문서에서는 MySQL 데이터베이스 내의 IN 절에 목록을 삽입하는 효율적이고 안전한 방법을 살펴봅니다. 기존 접근 방식은 목록을 문자열에 매핑하고 직접 삽입하는 것이지만, 이 방법은 수동으로 인용하고 이스케이프해야 하기 때문에 SQL 주입 위험이 있습니다.

이 취약점을 방지하려면 더 안전한 접근 방식은 다음을 사용하는 것입니다. MySQL 쿼리에 매개변수로 직접 나열됩니다. 다음 코드는 이 방법을 보여줍니다.

format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings,
                tuple(list_of_ids))

이 코드는 다음을 수행합니다.

• 수동 인용 방지: '%s' 형식 지정자를 사용하여 , list_of_ids의 데이터는 자동으로 MySQL의 드라이버에 매개변수로 전달되므로 수동 작업이 필요하지 않습니다.
• SQL 삽입 방지: 데이터가 매개변수로 삽입되어 쿼리의 일부로 해석되지 않습니다. 이렇게 하면 쿼리가 SQL 삽입 공격으로부터 면역됩니다.
• 모든 문자 지원: 데이터에는 제거나 인용 없이 모든 문자가 포함될 수 있습니다.

다음이 중요합니다. 이 방법은 매개변수를 안전하게 처리하는 MySQL 드라이버의 능력에 의존합니다. 데이터가 매개변수로 올바르게 전달되는 한 쿼리는 SQL 삽입으로부터 안전하게 유지됩니다.

위 내용은 MySQL IN 절에 목록을 안전하게 삽입하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!