Gennem " SQLite "-modulet , kan brugere af Python forbindelse til databaser , sende databaseforespørgsler , og indsamle resultaterne fra disse forespørgsler. Dette giver programmører en kraftfuld måde at integrere database opkald i deres Python scripts. Dog kan læse rå data fra brugerne i Python præsentere et sikkerhedshul . Angribere kan indsætte anførselstegn i strategiske steder for at injicere SQL-kommandoer i databasen og udføre uønskede kommandoer. Ved at bruge parameter substitution metode sqlite3 s "execute "-metoden , vil sqlite3 modulet fratage usikre citat og gøre input sikker til brug. Ting du skal
Python Interpreter
Vis Flere Instruktioner
1
Import sqlite3 i dit script som følger : Hej
# /usr /bin /! python
import sqlite3
2
Tilslut til en database -fil med " connect "-metoden : Hej
conn = sqlite3.connect ( ' /home /db /data ")
3
Opret en snor med nogle usikre citater i det : Hej
input = ' denne" citat "behov renset'
4
udføre en forespørgsel på databasen ved hjælp af " execute" og parameter substitution:
køtere = conn.cursor () curs.execute ( ' select * from række, hvor symbol = ? " , input) < br >