Comment transmettre en toute sécurité des paramètres à la méthode « connection.execute » de SQLAlchemy ?

Passer des paramètres dans la méthode connection.execute de SQLAlchemy

L'extrait de code fourni récupère les données d'une requête SQL à l'aide de la méthode connection.execute et convertit le résultat en un tableau de des cartes. Cependant, le paramétrage est actuellement géré par le formatage de chaîne, ce qui présente un risque de sécurité.

Pour résoudre ce problème, la fonction text() de SQLAlchemy peut être utilisée pour générer des requêtes SQL paramétrées. Cette fonction prend une chaîne SQL comme argument et permet d'utiliser des paramètres de mots-clés pour spécifier des valeurs lors de l'exécution.

Voici une version mise à jour du code :

def __sql_to_data(sql, values):
    result = []
    connection = engine.connect()
    try:
        # Convert SQL to parametrized SQL
        sql_text = sql.text(sql)
        rows = connection.execute(sql_text, values)

        for row in rows:
            result_row = {}
            for col in row.keys():
                result_row[str(col)] = str(row[col])
            result.append(result_row)
    finally:
        connection.close()
    return result

Dans ce code mis à jour :

1. La chaîne SQL (sql) est passée à text() pour créer un objet SQL paramétré (sql_text).
2. Des paramètres de mots clés (valeurs) sont fournis à la méthode d'exécution pour remplacer les espaces réservés dans la chaîne SQL.

Vous pouvez désormais paramétrer votre SQL sans sacrifier la sécurité en utilisant __sql_to_data(sql, valeurs):

sql = 'SELECT ... WHERE user_id = :user_id'
values = { 'user_id' : 3 }
results = __sql_to_data(sql, values)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!