كيفية إنشاء بيان مثل SQL بأمان باستخدام Python DB-API
-
21-09-2019 - |
سؤال
أحاول تجميع بيان SQL التالي باستخدام DB-API's Python:
SELECT x FROM myTable WHERE x LIKE 'BEGINNING_OF_STRING%';
حيث يجب أن يكون البداية _tring هو python var ليتم ملؤه بأمان من خلال db-api. حاولت
beginningOfString = 'abc'
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%', beginningOfString)
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%s%%', beginningOfString)
لا فكرة لدي؛ ما هي الطريقة الصحيحة للقيام بذلك؟
المحلول
من الأفضل فصل المعلمات عن SQL إذا استطعت. ثم يمكنك السماح لوحدة DB برعاية الاقتباس المناسب للمعلمات.
sql='SELECT x FROM myTable WHERE x LIKE %s'
args=[beginningOfString+'%']
cursor.execute(sql,args)
نصائح أخرى
تعديل:
كما لاحظ براين وتوماس ، بعيد طريقة أفضل للقيام بذلك هي الاستخدام:
beginningOfString += '%'
cursor.execute("SELECT x FROM myTable WHERE x LIKE ?", (beginningOfString,) )
نظرًا لأن الطريقة الأولى تتركك مفتوحة لهجمات حقن SQL.
غادر في التاريخ:
محاولة:
cursor.execute("SELECT x FROM myTable WHERE x LIKE '%s%%'" % beginningOfString)
اخذ ملاحظة SQLITE3 توثيق:
عادةً ما تحتاج عمليات SQL الخاصة بك إلى استخدام القيم من متغيرات Python. يجب ألا تقوم بتجميع استعلامك باستخدام عمليات سلسلة Python لأن القيام بذلك غير آمن ؛ يجعل برنامجك عرضة لهجوم حقن SQL.
بدلاً من ذلك ، استخدم استبدال المعلمة DB-API. وضع ؟ بصفتك عنصرًا نائبًا أينما تريد استخدام قيمة ، ثم توفير مجموعة من القيم كوسيطة ثانية لطريقة تنفيذ () المؤشر. (قد تستخدم وحدات قاعدة البيانات الأخرى عنصرًا نائبًا مختلفًا ، مثل ٪ S أو: 1.) على سبيل المثال:
# Never do this -- insecure! symbol = 'IBM' c.execute("... where symbol = '%s'" % symbol) # Do this instead t = (symbol,) c.execute('select * from stocks where symbol=?', t) # Larger example for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]: c.execute('insert into stocks values (?,?,?,?,?)', t)
أعتقد أنك تريد هذا:
cursor.execute('SELECT x FROM myTable WHERE x LIKE '%?%', (beginningOfString,) )