Python을 사용하여 SQL 문에서 변수를 안전하게 바인딩하려면 어떻게 해야 합니까?

Python을 사용하여 SQL 문에서 변수 바인딩

Python에서는 변수를 쿼리의 일부로 포함하지 않고 SQL 문에 전달하는 것이 중요합니다. 끈. 이렇게 하면 SQL 주입 공격을 방지하고 적절한 매개변수 처리가 보장됩니다.

이를 달성하려면 자리 표시자와 함께 커서.execute() 메서드를 사용하십시오(예: 문자열의 경우 %s, 정수의 경우 %d, 정수의 경우 '%f'). 부동 소수점 값)을 사용하여 변수를 나타냅니다.

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

execute() 메서드에 대한 매개 변수는 단일 매개 변수를 전달하는 경우에도 튜플이어야 합니다. 값. 단일 매개변수를 나타내려면 후행 쉼표가 있는 튜플을 사용하십시오.

cursor.execute("INSERT INTO table VALUES (%s)", (var1,))

데이터베이스 API는 변수의 적절한 이스케이프 및 인용을 처리합니다. 문자열 형식화 연산자(%)는 이스케이프나 인용을 수행하지 않으므로 사용하지 마십시오. 그러면 애플리케이션이 공격에 취약해집니다. 또한 문자열을 연결하여 SQL 문을 작성하는 대신 준비된 문(여기에 표시된 것과 같은)을 사용하는 것이 중요합니다. 이렇게 하면 보안과 성능이 모두 향상됩니다.

위 내용은 Python을 사용하여 SQL 문에서 변수를 안전하게 바인딩하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!