Attraverso il modulo " SQLite " , gli utenti di Python possono connettersi ai database , inviare le query di database , e raccogliere i risultati di tali query . Questo offre ai programmatori un modo potente per integrare le chiamate al database nei loro script Python . Tuttavia, la lettura dei dati grezzi da utenti in Python può presentare un buco di sicurezza . Gli aggressori possono inserire le virgolette in luoghi strategici , al fine di iniettare comandi SQL al database ed eseguire i comandi desiderati . Utilizzando il metodo di sostituzione del parametro del metodo di sqlite3 "eseguire" , il modulo sqlite3 eliminerà citazione non sicuri e rendere l' ingresso sicuro per l'uso. Cose che ti serviranno
Python Interpreter
Show More Istruzioni
1
Import sqlite3 nel tuo script come segue :
# /usr /bin /! python
import sqlite3
2
connettersi a un file di database con il "connect" metodo :
conn = sqlite3.connect ( ' /home /db /dati ')
3
Creare una stringa con alcune citazioni non sicuri in esso :
input = ' questa " citazione " ha bisogno puliti '
4
eseguire una query sul database utilizzando "eseguire" e la sostituzione di parametro :
cagnacci = conn.cursor ( ) curs.execute ( ' select * from fila dove symbol = ? ' , ingresso)