Através do módulo " SQLite " , os usuários do Python pode se conectar a bancos de dados , enviar consultas de banco de dados , e cobrar resultados dessas consultas . Isto oferece programadores uma maneira poderosa para integrar chamadas de banco de dados em seus scripts Python . No entanto, a leitura de dados brutos de usuários de Python pode apresentar uma falha de segurança . Os atacantes podem inserir aspas em lugares estratégicos , a fim de injetar comandos SQL no banco de dados e executar comandos indesejados. Ao utilizar o método de substituição de parâmetro do método de sqlite3 " executar " , o módulo irá retirar sqlite3 cotação inseguro e tornar a entrada segura para uso . Coisas que você precisa
Python Interpreter
Show Mais instruções
1
Import sqlite3 em seu script da seguinte forma :
# /usr /bin /python
importação sqlite3
2
Conecte-se a um arquivo de banco de dados com o método de " ligar " :
conn = sqlite3.connect ('/home /db /dados ' ),
3
Criar uma string com algumas citações inseguras nele :
entrada =' Esta necessidades "quote" limpos "
4
executa uma consulta no banco de dados usando o " executar" e substituição de parâmetros :
curs = conn.cursor () curs.execute (' select * from linha onde símbolo = ? " , de entrada) < br >