在Python中使用SQLite時如何防止SQL注入攻擊？

在 Python 中防止 SQL 注入

從不受信任的來源（例如用戶輸入）獲取資料時，防止 SQL 注入攻擊至關重要。在Python中，使用SQLite，您可以使用遊標的execute()方法有效地保護您的資料庫。

考慮以下程式碼片段：

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", ( label, userId, refId) )
    self._db.commit()

在此範例中，標籤是從取得的使用者並直接插入 SQL 查詢。這會暴露 SQL 注入攻擊的漏洞。

為了保護操作，請使用帶有參數的execute()方法，如下所示：

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute( """
        UPDATE items SET label = ? WHERE userId IS ? AND refId IS ?""", 
        ( label, userId, refId) )
    self._db.commit()

參數會被 SQLite 自動轉義並包含在查詢中。這可以防止攻擊者將惡意程式碼注入您的資料庫。透過採用這種方法，您可以有效地保護您的應用程式免受 SQL 注入攻擊。

以上是在Python中使用SQLite時如何防止SQL注入攻擊？的詳細內容。更多資訊請關注PHP中文網其他相關文章！