pandas 資料幀上的 duckdb 查詢中的 SQL 注入

問題內容

在一個專案中，我正在使用 duckdb 對資料幀執行一些查詢。對於其中一個查詢，我需要將一些用戶輸入添加到查詢中。這就是為什麼我想知道在這種情況下是否可以進行 sql 注入。使用者是否可以透過輸入損害應用程式或系統？如果是這樣，我該如何防止這種情況發生？看來duckdb沒有用於資料幀查詢的preparedstatement。

我已經在文件（https://duckdb.org/docs/api/python/overview.html）中查找過，但找不到任何有用的東西。方法 duckdb.execute(query,parameters) 似乎只適用於具有真正 sql 連線的資料庫，而不適用於資料幀。

stackoverflow 上還有一個關於此主題的問題（syntax for duckdb > python sql with parameter\variable），但答案僅適用於真正的sql 連接，並且帶有f 字符串的版本對我來說似乎不安全。

這是一個小程式碼範例來說明我的意思：

import duckdb
import pandas as pd

df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
    
user_input = 3  # fetch some user_input here
    
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))

那麼您將如何解決這個問題呢？ sql注入是否可能？感謝您的幫助，如果您需要更多信息，請隨時詢問更多詳細信息！

編輯：修正了程式碼中的語法錯誤

正確答案

#看來是有可能的：

>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()

   id    student
0   3  student_b

以上是pandas 資料幀上的 duckdb 查詢中的 SQL 注入的詳細內容。更多資訊請關注PHP中文網其他相關文章！