>백엔드 개발 >파이썬 튜토리얼 >SQL 주입을 방지하기 위해 MySQL IN 절의 목록을 안전하게 사용하는 방법은 무엇입니까?

SQL 주입을 방지하기 위해 MySQL IN 절의 목록을 안전하게 사용하는 방법은 무엇입니까?

Barbara Streisand
Barbara Streisand원래의
2024-11-25 20:47:14952검색

How to Safely Use Lists in MySQL IN Clauses to Prevent SQL Injection?

MySQL IN 절에 대한 목록을 안전하게 내포

데이터베이스 보안이 가장 중요하며 SQL 삽입을 방지하는 것이 중요합니다. MySQL IN 절에서 값 목록을 사용할 때 안전하게 수행하는 것이 중요합니다.

문제:

목록을 문자열로 확장하여 IN 절은 SQL에 취약합니다. 주입.

# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)

해결책:

SQL 주입을 방지하려면 값 목록을 매개변수로 직접 사용하세요.

# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

이것은 접근 방식은 값 목록을 쿼리 문자열에 포함하는 대신 매개 변수로 전달하여 주입을 효과적으로 방지합니다.

데이터를 MySQL 드라이버에 매개변수로 직접 전달하면 수동으로 인용 및 이스케이프할 필요가 없어져 데이터베이스 작업의 무결성이 보장됩니다.

위 내용은 SQL 주입을 방지하기 위해 MySQL IN 절의 목록을 안전하게 사용하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.