参数化查询如何防止 Python 的 SQLite 交互中的 SQL 注入？

在 Python 中防止 SQL 注入

问题：

您有一个 Python 脚本，更新 SQLite 数据库中的 char(80) 值。字符串值直接从用户处获取并作为 JSON 负载传递到脚本。您知道这种方法容易受到 SQL 注入攻击。

解决方案：

为了防止 SQL 注入，您可以在更新操作中使用参数化查询。参数化查询允许您将值传递给 SQL 语句，而无需将它们直接包含在查询字符串中。这可以防止恶意输入破坏 SQL 语法。

Python sqlite3 库支持通过 ? 进行参数化查询。占位符。您可以将值作为与查询中的占位符相对应的值元组传递给执行方法。

修订的代码：

这里是您的使用参数化查询的 setLabel 方法：

def setLabel( self, userId, refId, label ):
    self._db.cursor().execute(
        """
        UPDATE items SET label = ? WHERE userId = ? AND refId = ?""",
        (label, userId, refId)
    )
    self._db.commit()

通过使用参数化查询，您可以确保用户输入是被视为一个值而不是SQL语句的一部分，有效防止SQL注入攻击。

以上是参数化查询如何防止 Python 的 SQLite 交互中的 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！