如何解决如何安全地将参数插入 SQL 查询并获取结果查询?
我必须使用不符合 DBAPI 的库来与数据库交互(qds_sdk 用于 Qubole)。这个库只允许发送没有参数的原始 sql 查询。因此,我想要一种防 sql 注入的方法来将参数插入查询并在 Python 中获取生成的格式化查询。类似于下面示例中的 format_sql 函数:
sql = 'select * from table where id = ?'
formatted_sql = format_sql(sql,(123,)) # 'select * from table where id = 123'
这完全可能吗,还是太特定于 RDBMS?
解决方法
我对 Quoble 和它接受的 SQL 方言了解不多,而且您可能正在处理各种数据类型。但是在许多情况下,将参数转换为字符串,然后通过将它们加倍或在它们前面加上反斜杠来转义单引号字符(例如,MySQL 允许这两种方法),这可能是您能做的最好的事情。我会使用 %s 作为伪准备语句的占位符:
from datetime import date
def format_sql(query,args):
new_args = []
for arg in args:
new_args.append(str(arg).replace("'","''"))
return query.replace("%s","'%s'") % tuple(new_args)
print(format_sql("insert into mytable(x,y,z) values(%s,%s,%s)",("Booboo's car",date.today(),2)))
打印:
insert into mytable(x,z) values('Booboo''s car','2021-01-04','2')
如果 %s 有可能出现在 SQL 中的某个上下文中而不是作为占位符,那么您需要将单引号放在那些实际占位符并且没有功能 {{1} } 执行该功能:
format_sql版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
