如何安全地处理 SQLAlchemy 的 `execute()` 函数中的参数？-mysql教程-PHP中文网

如何安全地处理 SQLAlchemy 的 `execute()` 函数中的参数？

Susan Sarandon

发布： 2025-01-01 09:02:10

原创

475 人浏览过

How Can I Securely Handle Parameters in SQLAlchemy's `execute()` Function?

SQLAlchemyexecute()中的参数处理

利用SQLAlchemy的connection.execute()函数将select结果转换为映射数组可以是适用于小型数据集的便捷方法。但是，使用 format() 向 SQL 查询添加参数可能会带来安全问题。

要改进参数处理机制，请考虑利用以下技术：

使用 SQLAlchemy.sql.text () 用于参数化 SQL 字符串

使用以下命令创建参数化 SQL 字符串SQLAlchemy.sql.text():

sql = text(
    "SELECT users.fullname || ', ' || addresses.email_address AS title "
    "FROM users, addresses "
    "WHERE users.id = addresses.user_id "
    "AND users.name BETWEEN :x AND :y "
    "AND (addresses.email_address LIKE :e1 "
    "OR addresses.email_address LIKE :e2)")

登录后复制

将参数指定为关键字参数

在执行参数化 SQL 字符串时，将参数值作为关键字提供给执行() 函数：

conn.execute(sql, {"x": "m", "y": "z", "e1": "%@aol.com", "e2": "%@msn.com"}).fetchall()

登录后复制

在自定义中合并动态参数函数

如果需要，请修改您的自定义函数（本例中为 __sql_to_data()），以通过创建名为 value 的参数值字典来支持参数传递：

def __sql_to_data(sql, values):
    ...
    conn.execute(sql, values)

登录后复制

您可以然后使用参数字典调用该函数，例如：

sql = 'SELECT ...'
data = {'user_id': 3}
results = __sql_to_data(sql, data)

登录后复制

通过采用这些方法，您可以增强安全性并SQLAlchemy 的execute() 函数中参数处理的灵活性。

以上是如何安全地处理 SQLAlchemy 的 `execute()` 函数中的参数？的详细内容。更多信息请关注PHP中文网其他相关文章！