매개변수화된 쿼리가 Python의 SQLite 상호 작용에서 SQL 주입을 어떻게 방지할 수 있습니까?

Python에서 SQL 주입 방지

문제:

다음과 같은 Python 스크립트가 있습니다. SQLite 데이터베이스에서 char(80) 값을 업데이트합니다. 문자열 값은 사용자로부터 직접 가져와 JSON 페이로드로 스크립트에 전달됩니다. 이 접근 방식은 SQL 주입 공격에 취약하다는 점을 알고 계실 것입니다.

해결책:

SQL 주입을 방지하려면 업데이트 작업에 매개변수화된 쿼리를 사용할 수 있습니다. 매개변수화된 쿼리를 사용하면 쿼리 문자열에 값을 직접 포함하지 않고도 SQL 문에 값을 전달할 수 있습니다. 이렇게 하면 악의적인 입력으로 인해 SQL 구문이 중단되는 것을 방지할 수 있습니다.

Python sqlite3 라이브러리는 ? 자리 표시자. 쿼리의 자리 표시자에 해당하는 값의 튜플로 값을 실행 메소드에 전달할 수 있습니다.

수정된 코드:

다음은 수정된 버전의 코드입니다. 매개변수화된 쿼리를 사용하는 setLabel 메소드:

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute(
        """
        UPDATE items SET label = ? WHERE userId = ? AND refId = ?""",
        (label, userId, refId)
    )
    self._db.commit()

매개변수화된 쿼리를 사용하면 사용자가 입력은 SQL 문의 일부가 아닌 값으로 처리되어 SQL 주입 공격을 효과적으로 방지합니다.

위 내용은 매개변수화된 쿼리가 Python의 SQLite 상호 작용에서 SQL 주입을 어떻게 방지할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!