Gennem " SQLite "-modulet , kan brugere af Python forbindelse til databaser , sende databaseforespørgsler , og indsamle resultaterne fra disse forespørgsler. Dette giver programmører en kraftfuld måde at integrere database opkald i deres Python scripts. Dog kan læse rå data fra brugerne i Python præsentere et sikkerhedshul . Angribere kan indsætte anførselstegn i strategiske steder for at injicere SQL-kommandoer i databasen og udføre uønskede kommandoer. Ved at bruge parameter substitution metode sqlite3 s "execute "-metoden , vil sqlite3 modulet fratage usikre citat og gøre input sikker til brug. Ting du skal
Python Interpreter
Vis Flere Instruktioner
1

Import sqlite3 i dit script som følger : Hej

# /usr /bin /! python

import sqlite3
2

Tilslut til en database -fil med " connect "-metoden : Hej

conn = sqlite3.connect ( ' /home /db /data ")
3

Opret en snor med nogle usikre citater i det : Hej

input = ' denne" citat "behov renset'
4

udføre en forespørgsel på databasen ved hjælp af " execute" og parameter substitution:

køtere = conn.cursor () curs.execute ( ' select * from række, hvor symbol = ? " , input) < br >