Bagaimanakah Saya Boleh Melindungi Kenyataan UPDATE Python Saya Terhadap Suntikan SQL?

Melindungi Terhadap SQL Injection dalam Python

Memastikan keselamatan interaksi pangkalan data adalah penting dalam mencegah serangan suntikan SQL. Apabila menerima input pengguna yang terdedah kepada manipulasi, adalah penting untuk melaksanakan perlindungan di bahagian pelayan. Artikel ini menangani keperluan untuk mendapatkan operasi KEMASKINI dalam Python terhadap suntikan SQL.

Dalam senario yang diberikan, kaedah setLabel mengambil input yang disediakan pengguna dan melaksanakan pertanyaan SQL UPDATE tanpa perlindungan yang betul. Untuk mengurangkan ini, rentetan input mesti dilepaskan sebelum ia boleh dihantar dengan selamat ke kursor pangkalan data.

Pustaka sqlite3 Python menyediakan mekanisme terbina dalam untuk menghalang suntikan SQL. Gantikan pembolehubah pemegang tempat dengan nilai petikan yang sesuai:

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute(
        """UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""",
        ( sqlite3.escape(label), userId, refId )
    )
    self._db.commit()

Dengan menggunakan fungsi sqlite3.escape, label yang disediakan akan dilupuskan dengan betul, menghalang sebarang watak berniat jahat atau percubaan suntikan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Melindungi Kenyataan UPDATE Python Saya Terhadap Suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!