Melindungi Aplikasi Python daripada SQL Injection
Serangan suntikan SQL menimbulkan ancaman ketara kepada aplikasi yang mengendalikan input yang disediakan pengguna. Dalam Python, apabila menetapkan nilai dalam medan char(80) dalam pangkalan data SQLite, adalah penting untuk melaksanakan perlindungan terhadap serangan ini.
Untuk memastikan operasi KEMASKINI terhadap suntikan SQL, adalah disyorkan untuk menggunakan pertanyaan berparameter yang membenarkan anda untuk menghantar input yang diberikan pengguna sebagai parameter sambil memisahkannya daripada pernyataan SQL. Ini menghalang watak berniat jahat daripada mengganggu sintaks SQL.
Kaedah cursor.execute() dalam modul SQLite3 Python menyokong pertanyaan berparameter menggunakan ? pemegang tempat. Anda boleh menentukan input pengguna sebagai tuple nilai dalam panggilan execute(). Contohnya:
def setLabel(self, userId, refId, label): self._db.cursor().execute( """UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", (label, userId, refId) ) self._db.commit()
Dalam kod yang disemak ini, label yang disediakan pengguna dihantar sebagai hujah pertama kepada kaedah cursor.execute() sebagai parameter berasingan, menghalang input berniat jahat daripada memanipulasi pernyataan SQL.
Dengan menggunakan pertanyaan berparameter, anda boleh melindungi aplikasi anda daripada serangan suntikan SQL dengan berkesan dan memastikan integriti dan keselamatan pangkalan data anda.
Atas ialah kandungan terperinci Bagaimanakah Pertanyaan Berparameter Dapat Melindungi Aplikasi Python daripada Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!