A través del módulo " SQLite " , los usuarios de Python pueden conectarse a bases de datos , enviar consultas de base de datos y recopilar los resultados de esas consultas. Esto ofrece a los programadores una forma eficaz de integrar las llamadas de base de datos en sus scripts de Python . Sin embargo , la lectura de los datos en bruto de los usuarios de Python puede representar un problema de seguridad . Los atacantes pueden insertar comillas en lugares estratégicos con el fin de inyectar comandos SQL en la base de datos y ejecutar comandos no deseados. Al utilizar el método de sustitución de parámetros de método " ejecutar " de sqlite3 , el módulo del sqlite3 se tira cita inseguro y hacer que la caja fuerte de entrada para su uso . Cosas que necesitará
Python Interpreter
Mostrar más instrucciones
1
sqlite3 importación en la secuencia de comandos de la siguiente manera :
# /usr /bin /! python
importación sqlite3
2
Conectar a un archivo de base de datos con el método de "conectar" :
conn = sqlite3.connect ( '/home /db /datos ' )
3
Crear una cadena con algunas citas seguras en ella :
entrada
=' esta " cita" debe limpiarse '
4
ejecutar una consulta en la base de datos con " ejecutar" y la sustitución de parámetros :
curs = conn.cursor () curs.execute ( ' select * from fila donde symbol = ? ' , input)
