SQL 주입을 방지하기 위해 MySQL IN 절의 목록을 안전하게 사용하는 방법은 무엇입니까?

MySQL IN 절에 대한 목록을 안전하게 내포

데이터베이스 보안이 가장 중요하며 SQL 삽입을 방지하는 것이 중요합니다. MySQL IN 절에서 값 목록을 사용할 때 안전하게 수행하는 것이 중요합니다.

문제:

목록을 문자열로 확장하여 IN 절은 SQL에 취약합니다. 주입.

# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)

해결책:

SQL 주입을 방지하려면 값 목록을 매개변수로 직접 사용하세요.

# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

이것은 접근 방식은 값 목록을 쿼리 문자열에 포함하는 대신 매개 변수로 전달하여 주입을 효과적으로 방지합니다.

데이터를 MySQL 드라이버에 매개변수로 직접 전달하면 수동으로 인용 및 이스케이프할 필요가 없어져 데이터베이스 작업의 무결성이 보장됩니다.

위 내용은 SQL 주입을 방지하기 위해 MySQL IN 절의 목록을 안전하게 사용하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!