데이터베이스 조작 영역에서 매개변수 쿼리를 사용하는 것은 SQL 주입 공격으로부터 보호하는 중요한 보안 조치입니다. MySQLdb 모듈을 사용하여 MySQL 데이터베이스에 데이터를 삽입하려고 할 때 일부 사용자는 어려움을 겪을 수 있습니다.
6개의 변수를 삽입하려고 시도하는 다음 예를 고려하십시오. "노래" 테이블에:
cursor.execute ("""
INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation)
VALUES
(var1, var2, var3, var4, var5, var6)
""")삽입 문자열 보간을 통해 SQL 쿼리에 매개변수를 추가하는 것은 시스템을 SQL 주입에 취약하게 만들 수 있으므로 문제가 될 수 있습니다. 위의 예는 이 문제를 보여줍니다.
문제를 수정하고 안전하게 삽입하려면 매개변수화된 쿼리에 올바른 구문을 사용하십시오.
cursor.execute("INSERT INTO Songs (SongName, SongArtist, SongAlbum, SongGenre, SongLength, SongLocation) VALUES (%s, %s, %s, %s, %s, %s)", (var1, var2, var3, var4, var5, var6))'%s' 자리 표시자로 표시되는 매개변수 바인딩을 사용하면 다음이 보장됩니다. 입력 매개변수가 올바르게 이스케이프되고 삭제되었습니다. 이렇게 하면 악의적인 의도로 SQL 문을 조작하고 데이터베이스를 손상시키는 것을 방지할 수 있습니다.
매개변수 바인딩 방법은 데이터베이스 API 구현마다 다를 수 있습니다. MySQL 클라이언트 라이브러리는 기존의 '?' 대신 printf 스타일 구문을 사용합니다. python-sqlite와 같은 다른 프레임워크에서 사용되는 마커입니다. 효과적인 데이터베이스 조작을 위해서는 이러한 차이점을 이해하는 것이 필수적입니다.
위 내용은 매개변수화된 쿼리를 사용하여 MySQL에 데이터를 안전하게 삽입하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
