Rumah >pembangunan bahagian belakang >Tutorial Python >Bagaimana untuk Menggunakan Senarai dengan Selamat dalam Klausa MySQL IN untuk Mencegah Suntikan SQL?

Bagaimana untuk Menggunakan Senarai dengan Selamat dalam Klausa MySQL IN untuk Mencegah Suntikan SQL?

Barbara Streisand
Barbara Streisandasal
2024-11-25 20:47:14952semak imbas

How to Safely Use Lists in MySQL IN Clauses to Prevent SQL Injection?

Senarai Meletupkan Dengan Selamat untuk MySQL IN Klausa

Keselamatan pangkalan data adalah yang terpenting, dan mengelakkan suntikan SQL adalah penting. Apabila menggunakan senarai nilai dalam klausa MySQL IN, adalah penting untuk melakukannya dengan selamat.

Masalah:

Memperluas senarai menjadi rentetan untuk digunakan dalam Klausa IN terdedah kepada SQL suntikan.

# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)

Penyelesaian:

Untuk melindungi daripada suntikan SQL, gunakan senarai nilai secara langsung sebagai parameter:

# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))

Ini pendekatan melepasi senarai nilai sebagai parameter dan bukannya membenamkannya dalam rentetan pertanyaan, dengan berkesan menghalang suntikan serangan.

Dengan menghantar terus data kepada pemacu MySQL sebagai parameter, anda menghapuskan keperluan untuk petikan manual dan melarikan diri, memastikan integriti operasi pangkalan data anda.

Atas ialah kandungan terperinci Bagaimana untuk Menggunakan Senarai dengan Selamat dalam Klausa MySQL IN untuk Mencegah Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn