Durch die " SQLite "-Modul können Benutzer von Python auf Datenbanken verbinden , senden Datenbankabfragen und sammeln Ergebnisse aus diesen Abfragen. Dies bietet Programmierern eine leistungsfähige Methode zur Datenbank Anrufe in ihre Python-Skripte zu integrieren. Allerdings kann das Lesen Rohdaten von den Benutzern in Python präsentieren eine Sicherheitslücke . Angreifer können Anführungszeichen in strategisch wichtigen Orten einsetzen , um SQL-Befehle in die Datenbank einschleusen und ausführen unerwünschte Befehle . Durch die Verwendung der Parameter Substitution Verfahren sqlite3 den "Ausführen" -Methode wird das Modul sqlite3 Streifen unsicher Angebot und machen die Eingabe für die sichere Verwendung . Things You
Python Interpreter
brauchen anzeigen Weitere Anweisungen
1

Import sqlite3 in Ihr Skript wie folgt:

# /usr /bin /! python

Import sqlite3
2

zu einer Datenbank -Datei Verbinden mit dem "connect" -Methode:

conn = sqlite3.connect ('/home /db /Daten " )
3

erstellen String mit einigen unsicheren Zitate darin :

input = 'Dieses" Zitat " muss gereinigt '
4

führen Sie eine Abfrage auf der Datenbank mit "Ausführen" und Parameter- Substitution :

Köter = conn.cursor () curs.execute ( " select * from Zeile wo symbol = ? " , input)