MySQL IN 子句的安全內爆清單
資料庫安全至關重要,避免 SQL 注入至關重要。在 MySQL IN 子句中使用值清單時,必須安全地這樣做。
問題:
將清單擴展為字串以在字串中使用IN 子句容易受到SQL 的影響
# Vulnerable
cursor.execute("DELETE FROM foo.bar WHERE baz IN ('%s')" % foostring)解決方案:
為了防止SQL注入,直接使用值列表作為參數:
# Safe
format_strings = ','.join(['%s'] * len(list_of_ids))
cursor.execute("DELETE FROM foo.bar WHERE baz IN (%s)" % format_strings, tuple(list_of_ids))這個方法將值列表作為參數傳遞,而不是將它們嵌入到查詢字串中,有效防止注入
透過直接將資料作為參數傳遞給MySQL 驅動程序,您無需手動引用和轉義,從而確保資料庫操作的完整性。
以上是如何安全地在 MySQL IN 子句中使用清單來防止 SQL 注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
