SQL 주입 공격을 방지하려면 데이터베이스 상호 작용의 보안을 보장하는 것이 중요합니다. 조작되기 쉬운 사용자 입력을 수락하는 경우 서버 측에서 보호 장치를 구현하는 것이 필수적입니다. 이 문서에서는 SQL 주입으로부터 Python의 UPDATE 작업을 보호해야 하는 필요성에 대해 설명합니다.
주어진 시나리오에서 setLabel 메서드는 사용자가 제공한 입력을 가져와 적절한 보호 없이 SQL UPDATE 쿼리를 실행합니다. 이를 완화하려면 입력 문자열을 데이터베이스 커서에 안전하게 전달하기 전에 이스케이프해야 합니다.
Python의 sqlite3 라이브러리는 SQL 주입을 방지하는 내장 메커니즘을 제공합니다. 자리 표시자 변수를 적절하게 인용된 값으로 바꿉니다.
def setLabel( self, userId, refId, label ):
self._db.cursor().execute(
"""UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",
( sqlite3.escape(label), userId, refId )
)
self._db.commit()sqlite3.escape 함수를 활용하면 제공된 레이블이 올바르게 이스케이프되어 악의적인 문자나 삽입 시도를 방지할 수 있습니다.
위 내용은 SQL 주입으로부터 Python 업데이트 문을 어떻게 보호할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
