|
via le module " SQLite " , les utilisateurs de Python peuvent se connecter aux bases de données , envoyer des requêtes de base de données , et recueillir les résultats de ces requêtes. Cela offre aux programmeurs un moyen puissant pour intégrer les appels de base de données dans leurs scripts Python . Cependant, la lecture des données brutes auprès des utilisateurs de Python peut présenter une faille de sécurité . Les attaquants peuvent insérer des guillemets dans des endroits stratégiques afin d' injecter des commandes SQL dans la base de données et exécuter des commandes non désirées . En utilisant la méthode de substitution de paramètre de la méthode "execute" de sqlite3 , le module sqlite3 va priver citation malsain et le coffre-fort d'entrée à l'emploi. Choses que vous devez
Python Interpreter
Afficher plus Instructions
1 import sqlite3 dans votre script comme suit :
# /usr /bin /! python
import sqlite3
2 connecter à un fichier de base de données avec la méthode "connect" :
conn = sqlite3.connect ( '/home /db /données ')
3 créer une chaîne avec quelques citations dangereux dedans: entrée
=' cette " citation" doit nettoyer '
de
4 exécuter une requête sur la base de données en utilisant "exécuter" et la substitution de paramètres : Photos curs = conn.cursor () curs.execute ( 'SELECT * FROM rangée où le symbole = ? , input) < br >
|
