Via de " SQLite " module , kunnen gebruikers van Python verbinding maken met databases , sturen database queries , en de resultaten van die query's te verzamelen . Dit biedt programmeurs een krachtige manier om database- oproepen te integreren in hun Python scripts . Echter , het lezen van ruwe data van gebruikers in Python kan een gat in de beveiliging te presenteren . Aanvallers kunnen aanhalingstekens plaatsen op strategische plaatsen om de SQL -commando's te injecteren in de database en ongewenste commando's uit te voeren . Door het gebruik van de parameter substitutie methode sqlite3 's " execute" -methode , zal de sqlite3 module onveilige offerte strip en maken de ingang veilig voor gebruik . Wat je nodig hebt
Python Interpreter
Toon Meer Aanwijzingen
Import sqlite3 1 in het script als volgt :
# /usr /bin /! python import sqlite3 kopen van 2
verbinding maken met een database- bestand met de " connect " -methode :
conn = sqlite3.connect ( ' /home /db /data ' )
3 Maak een string met een aantal onveilige quotes erin : ingang
= ' dit " citaat" moet gereinigd '
4 uitvoeren van een query op de database met behulp van " uitvoeren " en parameter substitutie : straathonden
= conn.cursor ( ) curs.execute ( " select * from rij waar symbol = ? ' , ingang) < br >
|
