Genom " SQLite " modul , kan användare av Python ansluta till databaser , skicka databasfrågor , och samla in resultaten från dessa frågor . Detta ger programmerare ett kraftfullt sätt att integrera databasen samtal i sina Python -skript . Däremot kan läsa rådata från användare i Python presentera ett säkerhetshål . Angripare kan infoga citattecken på strategiska platser för att injicera SQL-kommandon i databasen och utföra oönskade kommandon . Genom att använda metoden parametern substitution av sqlite3 s " köra " metoden kommer sqlite3 modulen strippa osäkra citat och göra ingående säkert för användning . Saker du behöver
Pythontolk
Visa fler instruktioner
1 sqlite3
Import i skriptet så här :
# /usr /bin /! python
import sqlite3
2
Ansluta till en databasfil med " connect " metoden :
conn = sqlite3.connect ( ' /home /db /uppgifter ' ) Addera 3
Skapa en sträng med några osäkra citat i det :
input = ' detta " citat " behöver rengöras "
4
utför en sökning i databasen med hjälp av " kör" och parameter substitution :
curs = conn.cursor ( ) curs.execute ( " SELECT * FROM rad där symbol = ? ' , input )
Addera ditt
