Maison >base de données >tutoriel mysql >Comment puis-je insérer en toute sécurité plusieurs variables dans une base de données MySQL à l'aide de Python ?
Comment puis-je insérer en toute sécurité plusieurs variables dans une base de données MySQL à l'aide de Python ?
- Linda Hamiltonoriginal
- 2024-12-13 10:41:15580parcourir
Requêtes paramétrées dans MySQL
L'insertion de plusieurs variables dans une table de base de données MySQL à l'aide du module MySQLdb peut être délicate. Considérez la déclaration suivante :
cursor.execute ("""
INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
VALUES
(var1, var2, var3, var4, var5, var6)
""")
Cependant, l'utilisation de l'interpolation de chaîne dans les requêtes SQL est problématique car elle peut introduire des vulnérabilités de sécurité en laissant votre application vulnérable à l'injection SQL. L'approche correcte consiste à utiliser des requêtes paramétrées, ce qui garantit un échappement correct des paramètres d'entrée.
Paramètres d'échappement
Au lieu de l'interpolation de chaîne, utilisez des espaces réservés dans la requête et liez le leur donner les valeurs réelles à l'aide d'un tuple. Par exemple :
cursor.execute("INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation) VALUES (%s, %s, %s, %s, %s, %s)", (var1, var2, var3, var4, var5, var6))
Cette méthode protège contre l'injection SQL en échappant automatiquement les valeurs avant d'exécuter la requête.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!