從不受信任的來源(例如用戶輸入)獲取資料時,防止 SQL 注入攻擊至關重要。在Python中,使用SQLite,您可以使用遊標的execute()方法有效地保護您的資料庫。
考慮以下程式碼片段:
def setLabel( self, userId, refId, label ):
self._db.cursor().execute( """
UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", ( label, userId, refId) )
self._db.commit()在此範例中,標籤是從取得的使用者並直接插入 SQL 查詢。這會暴露 SQL 注入攻擊的漏洞。
為了保護操作,請使用帶有參數的execute()方法,如下所示:
def setLabel( self, userId, refId, label ):
self._db.cursor().execute( """
UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",
( label, userId, refId) )
self._db.commit()參數會被 SQLite 自動轉義並包含在查詢中。這可以防止攻擊者將惡意程式碼注入您的資料庫。透過採用這種方法,您可以有效地保護您的應用程式免受 SQL 注入攻擊。
以上是在Python中使用SQLite時如何防止SQL注入攻擊?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
