Slik fjerner Quotes i Python SQLite

Gjennom "SQLite" modul, kan brukere av Python koble til databaser, sende databasespørringer, og samle resultater fra disse søkene. Dette gir programmerere en effektiv måte å integrere databasekall i sine Python-skript. Men å lese rådata fra brukere Python kan presentere et sikkerhetshull. Angripere kan sette anførselstegn på strategiske steder for å injisere SQL-kommandoer inn i databasen og utføre uønskede kommandoer. Ved hjelp av parameter substitusjon metoden for sqlite3 er "kjøre" metoden, vil sqlite3 modulen strippe usikre sitat og gjøre inngangs sikker for bruk.

Bruksanvisning

1 Import SQLite3 inn skriptet som følger:

! / Usr / bin / python

import sqlite3

2 Koble til en databasefil med "connect" metoden:

conn = sqlite3.connect ( '/ home / db / data')

3 Opprett en streng med noen usikre sitater i det:

input = 'dette "quote" behov renset'

4 Utfør et søk i databasen ved hjelp av "execute" og parameter substitusjon:

bikkjer = conn.cursor ()
curs.execute ( 'select * from rad hvor symbol =? ", input)