確保資料庫互動的安全性對於防止 SQL 注入攻擊至關重要。當接受容易被操縱的使用者輸入時,必須在伺服器端實施保護措施。本文解決了保護 Python 中的 UPDATE 操作免受 SQL 注入的需要。
在給定的場景中,方法 setLabel 接受使用者提供的輸入並在沒有適當保護的情況下執行 SQL UPDATE 查詢。為了緩解這種情況,必須先對輸入字串進行轉義,然後才能安全地將其傳遞到資料庫遊標。
Python 的 sqlite3 函式庫提供了內建機制來防止 SQL 注入。將佔位符變數替換為適當的引號值:
def setLabel( self, userId, refId, label ):
self._db.cursor().execute(
"""UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",
( sqlite3.escape(label), userId, refId )
)
self._db.commit()透過利用 sqlite3.escape 函數,提供的標籤將被正確轉義,防止任何惡意字元或註入嘗試。
以上是如何保護我的 Python UPDATE 語句免受 SQL 注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
