Prostredníctvom " SQLite " modulu , môžu používatelia Python pripojenie k databázam , posielať databázových dotazov , a zhromažďovať výsledky z týchto otázok . To ponúka programátorom silný spôsob , ako prepojiť databázu hovorov do svojich skriptov v Pythone . Avšak , čítanie surových dát od používateľov v Pythone môže predstavovať bezpečnostnú dieru . Útočníci môžu vkladať úvodzovky v strategických miestach , aby s cieľom posilniť príkazov SQL do databázy a vykonať nežiaduce príkazy . Pri použití substitučnej metódy parameter metódy sqlite3 je " spustiť " , bude sqlite3 modul pás nebezpečný ponuku a vykonať vstupné bezpečné pre použitie . Veci , ktoré budete potrebovať
Python Interpreter
Zobraziť ďalšie inštrukcie Cestuj 1
Dovoz sqlite3 do skriptu takto : !
# /Usr /bin /python
import sqlite3
2
Pripojenie k databázovému súboru s metódou " pripojiť " :
conn = sqlite3.connect ( ' /home /db /údaje " )
3
Vytvoriť reťazec s niektorými nebezpečnými úvodzoviek v tom : Autor
vstupných = ' To je potrebné " quote " vyčistiť "
4
Vykonajte dotaz na databázu pomocou " spustiť " a nahradenie parametra :
Curs = conn.cursor ( ) curs.execute ( " select * from riadku , kde symbol = ? " , vstup )