Attraverso il modulo "SQLite", gli utenti di Python possono connettersi ai database, inviare query di database, e raccogliere i risultati di queste ricerche. Questo offre ai programmatori un modo potente per integrare chiamate al database nei loro script Python. Tuttavia, leggendo i dati grezzi da parte degli utenti in Python può presentare un buco di sicurezza. Gli aggressori possono inserire le virgolette in luoghi strategici al fine di iniettare comandi SQL nel database ed eseguire comandi indesiderati. Utilizzando il metodo del parametro di sostituzione del metodo di "eseguire" di sqlite3, il modulo sqlite3 eliminerà citazione non sicuri e rendere l'ingresso sicuro per l'uso.

istruzione

1 Importa sqlite3 nello script come segue:

! / Usr / bin / python

importazione sqlite3

2 Connettersi a un file di database con il metodo "connect":

conn = sqlite3.connect ( '/ home / db / dati')

3 Creare una stringa con alcune citazioni non sicuri in esso:

input = 'questa necessità "quote" puliti'

4 Eseguire una query sul database utilizzando "eseguire" e la sostituzione dei parametri:

curs = conn.cursor ()
curs.execute ( 'select * from riga in cui il simbolo =?', in ingresso)