在一個專案中,我正在使用 duckdb 對資料幀執行一些查詢。對於其中一個查詢,我需要將一些用戶輸入添加到查詢中。這就是為什麼我想知道在這種情況下是否可以進行 sql 注入。使用者是否可以透過輸入損害應用程式或系統?如果是這樣,我該如何防止這種情況發生?看來duckdb沒有用於資料幀查詢的preparedstatement。
我已經在文件(https://duckdb.org/docs/api/python/overview.html)中查找過,但找不到任何有用的東西。方法 duckdb.execute(query,parameters) 似乎只適用於具有真正 sql 連線的資料庫,而不適用於資料幀。
stackoverflow 上還有一個關於此主題的問題(syntax for duckdb > python sql with parameter\variable),但答案僅適用於真正的sql 連接,並且帶有f 字符串的版本對我來說似乎不安全。
這是一個小程式碼範例來說明我的意思:
import duckdb
import pandas as pd
df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
user_input = 3 # fetch some user_input here
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))那麼您將如何解決這個問題呢? sql注入是否可能?感謝您的幫助,如果您需要更多信息,請隨時詢問更多詳細信息!
編輯:修正了程式碼中的語法錯誤
#看來是有可能的:
>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()
id student
0 3 student_b以上是pandas 資料幀上的 duckdb 查詢中的 SQL 注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!
