SQL 삽입을 방지하기 위해 WHERE IN 문을 안전하게 사용하려면 어떻게 해야 합니까?

IN 쿼리를 안전하게 처리: WHERE 이해 IN 문

데이터베이스 쿼리 작업 시 , 값 집합을 기반으로 특정 레코드를 검색하는 것은 일반적인 요구 사항입니다. WHERE IN 문은 이를 달성하는 효율적인 방법을 제공합니다.

데이터베이스 스키마 및 의도

다음 데이터베이스를 고려하세요. table:

CREATE TABLE IF NOT EXISTS tab (_id integer PRIMARY KEY AUTOINCREMENT, obj text NOT NULL);

obj가 있는 레코드를 검색하려고 합니다. 열 값이 변수 목록과 일치하며, 제대로 처리되지 않으면 SQL 주입에 취약할 수 있습니다.

첫 번째 접근 방식: 수동 방법

다음을 사용하여 수동으로 쿼리를 구성하려고 합니다. 자리 표시자 문자열을 생성하기 위한 list_of_vars 및 Join()은 개수 불일치로 인해 오류가 발생할 수 있습니다. 바인딩.

statement = "SELECT * FROM tab WHERE obj IN (?);"
c.execute(statement, "'"+"','".join(list_of_vars)+"'")

권장 접근 방식: 매개변수화된 쿼리

IN 쿼리를 안전하게 실행하려면 매개변수 자리 표시자(?)를 사용하고 변수 목록을 매개변수로 바인딩하세요. 적절한 수의 자리 표시자를 생성하는 형식 방법을 사용하여 명령문을 생성합니다.

statement = "SELECT * FROM tab WHERE obj IN ({0})".format(', '.join(['?'] * len(list_of_vars)))
c.execute(statement, list_of_vars)

list_of_vars를 매개변수 값 목록으로 전달하면 적절한 바인딩을 보장하고 SQL 삽입 취약점을 방지할 수 있습니다.

위 내용은 SQL 삽입을 방지하기 위해 WHERE IN 문을 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!