Sichere Möglichkeit, MySQL-Tabelleneinträge mithilfe des Wörterbuchs in Python zu aktualisieren (SQL-Injection verhindern)-Fragen und Antworten zum chinesischen PHP-Netzwerk

Ich schreibe eine Hilfsfunktion für meine Webanwendung, die die Datenbank basierend auf einigen Informationen aktualisiert, die von einer externen API erhalten wurden (keine Benutzereingaben). Ich habe den folgenden Code, aber er wird vom Bandit-Python-Paket als „unsicher“ markiert.

Idealerweise könnte ich eine Funktion so schreiben, dass die zu aktualisierenden Spalten fest codiert werden, aber ich denke, es sollte auch möglich sein, dies dynamisch zu tun.

Ist dies eine sichere Möglichkeit, eine Tabelle zu aktualisieren (keine SQL-Injection möglich)?

import mysql.connector as database def update_message_by_uid(uid: str, update_dict: dict) -> None: # Fetches the previous entry from the database using the unique identifier message_info_dict = get_message_by_uid(uid) # check that all the keys of the update dict are also in the original dict assert set(update_dict.keys()) <= set( message_info_dict.keys() ), "Some of the keys in the dictionary passed are not valid database columns" # We update the entry for all entries in the dictionary containing the updates statement = 'UPDATE messages SET {} WHERE uid = %s'.format(", ".join('{}=%s'.format(k) for k in update_dict)) # Concatenates the values of the dict with the unique identifier to pass it to the execution method as one variable data = list(update_dict.values()) + [uid] cursor.execute(statement, data)