Bagaimanakah Saya Boleh Mencegah Serangan Suntikan SQL Apabila Menggunakan SQLite dalam Python?

Melindungi Terhadap SQL Injection dalam Python

Apabila mengambil data daripada sumber yang tidak dipercayai, seperti input pengguna, adalah penting untuk menghalang serangan suntikan SQL. Dalam Python, menggunakan SQLite, anda boleh melindungi pangkalan data anda dengan berkesan menggunakan kaedah execute() kursor.

Pertimbangkan coretan kod berikut:

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", ( label, userId, refId) )
    self._db.commit()

Dalam contoh ini, label diperoleh daripada pengguna dan terus dimasukkan ke dalam pertanyaan SQL. Ini mendedahkan kelemahan kepada serangan suntikan SQL.

Untuk menjamin operasi, gunakan kaedah execute() dengan parameter seperti berikut:

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", 
        ( label, userId, refId) )
    self._db.commit()

Parameter dilepaskan secara automatik oleh SQLite dan disertakan dalam pertanyaan . Ini menghalang penyerang daripada menyuntik kod hasad ke dalam pangkalan data anda. Dengan menggunakan kaedah ini, anda boleh melindungi aplikasi anda dengan berkesan daripada serangan suntikan SQL.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Mencegah Serangan Suntikan SQL Apabila Menggunakan SQLite dalam Python?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!