Rumah > Artikel > pembangunan bahagian belakang > Bagaimana untuk Menggunakan Senarai dengan Selamat dalam Klausa MySQL IN untuk Mencegah Suntikan SQL?
Bagaimana untuk Menggunakan Senarai dengan Selamat dalam Klausa MySQL IN untuk Mencegah Suntikan SQL?
- Barbara Streisandasal
- 2024-11-25 20:47:14887semak imbas
Senarai Meletupkan Dengan Selamat untuk MySQL IN Klausa
Keselamatan pangkalan data adalah yang terpenting, dan mengelakkan suntikan SQL adalah penting. Apabila menggunakan senarai nilai dalam klausa MySQL IN, adalah penting untuk melakukannya dengan selamat.
Masalah:
Memperluas senarai menjadi rentetan untuk digunakan dalam Klausa IN terdedah kepada SQL suntikan.
# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)
Penyelesaian:
Untuk melindungi daripada suntikan SQL, gunakan senarai nilai secara langsung sebagai parameter:
# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))
Ini pendekatan melepasi senarai nilai sebagai parameter dan bukannya membenamkannya dalam rentetan pertanyaan, dengan berkesan menghalang suntikan serangan.
Dengan menghantar terus data kepada pemacu MySQL sebagai parameter, anda menghapuskan keperluan untuk petikan manual dan melarikan diri, memastikan integriti operasi pangkalan data anda.
Atas ialah kandungan terperinci Bagaimana untuk Menggunakan Senarai dengan Selamat dalam Klausa MySQL IN untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!