Heim >Backend-Entwicklung >Python-Tutorial >SQL-Injection in der Duckdb-Abfrage im Pandas-Datenrahmen

SQL-Injection in der Duckdb-Abfrage im Pandas-Datenrahmen

WBOY
WBOYnach vorne
2024-02-09 23:57:031303Durchsuche

pandas 数据帧上的 duckdb 查询中的 SQL 注入

Frageninhalt

In einem Projekt verwende ich duckdb, um einige Abfragen für einen Datenrahmen durchzuführen. Für eine der Abfragen muss ich einige Benutzereingaben zur Abfrage hinzufügen. Deshalb möchte ich wissen, ob in diesem Fall eine SQL-Injection möglich ist. Kann ein Benutzer durch Eingaben einer Anwendung oder einem System Schaden zufügen? Wenn ja, wie kann ich das verhindern? Es scheint, dass duckdb keine vorbereitete Anweisung für Datenrahmenabfragen hat.

Ich habe in der Dokumentation nachgesehen (https://duckdb.org/docs/api/python/overview.html), kann aber nichts Nützliches finden. Methode duckdb.execute(query,parameters) scheint nur mit Datenbanken mit echten SQL-Verbindungen zu funktionieren, nicht mit Datenrahmen.

Es gibt noch eine weitere Frage zu Stackoverflow zu diesem Thema (Syntax für duckdb > Python SQL mit Parametervariable), aber die Antwort funktioniert nur für echte SQL-Verbindungen und die Version mit f-Strings scheint mir unsicher zu sein.

Hier ist ein kleines Codebeispiel, um zu veranschaulichen, was ich meine:

import duckdb
import pandas as pd

df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
    
user_input = 3  # fetch some user_input here
    
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))

Wie werden Sie dieses Problem lösen? Ist SQL-Injection möglich? Vielen Dank für Ihre Hilfe. Wenn Sie weitere Informationen benötigen, können Sie jederzeit nach weiteren Einzelheiten fragen!

EDIT: Syntaxfehler im Code behoben


Richtige Antwort


Sieht aus, als wäre es möglich:

>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()

   id    student
0   3  student_b

Das obige ist der detaillierte Inhalt vonSQL-Injection in der Duckdb-Abfrage im Pandas-Datenrahmen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:stackoverflow.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen