Python에서 SQLite를 사용할 때 SQL 주입 공격을 어떻게 방지할 수 있나요?

Python의 SQL 주입 방지

사용자 입력 등 신뢰할 수 없는 소스에서 데이터를 가져올 때는 SQL 주입 공격을 방지하는 것이 중요합니다. Python에서는 SQLite를 사용하여 커서의 Execute() 메서드를 사용하여 데이터베이스를 효과적으로 보호할 수 있습니다.

다음 코드 조각을 고려하세요.

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", ( label, userId, refId) )
    self._db.commit()

이 예에서 레이블은 다음에서 가져옵니다. 사용자가 SQL 쿼리에 직접 삽입됩니다. 이로 인해 SQL 주입 공격에 대한 취약점이 노출됩니다.

작업을 보호하려면 다음과 같이 매개변수와 함께 Execution() 메서드를 사용하세요.

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", 
        ( label, userId, refId) )
    self._db.commit()

매개변수는 SQLite에 의해 자동으로 이스케이프되어 쿼리에 포함됩니다. . 이렇게 하면 공격자가 데이터베이스에 악성 코드를 삽입하는 것을 방지할 수 있습니다. 이 방법을 채택하면 SQL 주입 공격으로부터 애플리케이션을 효과적으로 보호할 수 있습니다.

위 내용은 Python에서 SQLite를 사용할 때 SQL 주입 공격을 어떻게 방지할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!