Heim >Datenbank >MySQL-Tutorial >Wie übergebe ich Parameter sicher an die Methode „connection.execute' von SQLAlchemy?

Wie übergebe ich Parameter sicher an die Methode „connection.execute' von SQLAlchemy?

Mary-Kate Olsen
Mary-Kate OlsenOriginal
2025-01-04 08:11:39247Durchsuche

How to Securely Pass Parameters to SQLAlchemy's `connection.execute` Method?

Übergabe von Parametern in der Methode „connection.execute“ von SQLAlchemy

Das bereitgestellte Codefragment ruft Daten aus einer SQL-Abfrage mithilfe der Methode „connection.execute“ ab und konvertiert das Ergebnis in ein Array von Karten. Allerdings wird die Parametrisierung derzeit durch String-Formatierung gehandhabt, was ein Sicherheitsrisiko darstellt.

Um dieses Problem zu beheben, kann die text()-Funktion von SQLAlchemy verwendet werden, um parametrisierte SQL-Abfragen zu generieren. Diese Funktion verwendet eine SQL-Zeichenfolge als Argument und ermöglicht die Verwendung von Schlüsselwortparametern zur Angabe von Werten während der Ausführung.

Hier ist eine aktualisierte Version des Codes:

def __sql_to_data(sql, values):
    result = []
    connection = engine.connect()
    try:
        # Convert SQL to parametrized SQL
        sql_text = sql.text(sql)
        rows = connection.execute(sql_text, values)

        for row in rows:
            result_row = {}
            for col in row.keys():
                result_row[str(col)] = str(row[col])
            result.append(result_row)
    finally:
        connection.close()
    return result

In diesem aktualisierten Code:

  1. Der SQL-String (sql) wird an text() übergeben, um ein parametrisiertes SQL-Objekt zu erstellen (sql_text) __sql_to_data(sql, Werte):

Das obige ist der detaillierte Inhalt vonWie übergebe ich Parameter sicher an die Methode „connection.execute' von SQLAlchemy?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn