Maison >base de données >tutoriel mysql >Comment puis-je empêcher les attaques par injection SQL lors de l'utilisation de SQLite en Python ?
Comment puis-je empêcher les attaques par injection SQL lors de l'utilisation de SQLite en Python ?
- Mary-Kate Olsenoriginal
- 2025-01-04 19:12:39798parcourir
Protection contre les injections SQL en Python
Lors de la récupération de données provenant de sources non fiables, telles que les entrées utilisateur, il est crucial d'empêcher les attaques par injection SQL. En Python, en utilisant SQLite, vous pouvez protéger efficacement votre base de données à l'aide de la méthode execute() du curseur.
Considérez l'extrait de code suivant :
def setLabel( self, userId, refId, label ):
self._db.cursor().execute( """
UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", ( label, userId, refId) )
self._db.commit()
Dans cet exemple, l'étiquette est obtenue à partir de l'utilisateur et directement inséré dans la requête SQL. Cela expose des vulnérabilités aux attaques par injection SQL.
Pour sécuriser l'opération, utilisez la méthode execute() avec les paramètres suivants :
def setLabel( self, userId, refId, label ):
self._db.cursor().execute( """
UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",
( label, userId, refId) )
self._db.commit()
Les paramètres sont automatiquement échappés par SQLite et inclus dans la requête . Cela empêche les attaquants d'injecter du code malveillant dans votre base de données. En adoptant cette méthode, vous pouvez protéger efficacement votre application contre les attaques par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!