via le module " SQLite " , les utilisateurs de Python peuvent se connecter aux bases de données , envoyer des requêtes de base de données , et recueillir les résultats de ces requêtes. Cela offre aux programmeurs un moyen puissant pour intégrer les appels de base de données dans leurs scripts Python . Cependant, la lecture des données brutes auprès des utilisateurs de Python peut présenter une faille de sécurité . Les attaquants peuvent insérer des guillemets dans des endroits stratégiques afin d' injecter des commandes SQL dans la base de données et exécuter des commandes non désirées . En utilisant la méthode de substitution de paramètre de la méthode "execute" de sqlite3 , le module sqlite3 va priver citation malsain et le coffre-fort d'entrée à l'emploi. Choses que vous devez
Python Interpreter
Afficher plus Instructions
1

import sqlite3 dans votre script comme suit :

# /usr /bin /! python

import sqlite3
2

connecter à un fichier de base de données avec la méthode "connect" :

conn = sqlite3.connect ( '/home /db /données ')
3

créer une chaîne avec quelques citations dangereux dedans:

entrée
=' cette " citation" doit nettoyer '
de
4

exécuter une requête sur la base de données en utilisant "exécuter" et la substitution de paramètres : Photos

curs = conn.cursor () curs.execute ( 'SELECT * FROM rangée où le symbole = ? , input) < br >