問題內容
在一個項目中,我正在使用 duckdb 對數據幀執行一些查詢。對于其中一個查詢,我需要將一些用戶輸入添加到查詢中。這就是為什么我想知道在這種情況下是否可以進行 sql 注入。用戶是否可以通過輸入損害應用程序或系統?如果是這樣,我該如何防止這種情況發生?看來duckdb沒有用于數據幀查詢的preparedstatement。
我已經在文檔(https://duckdb.org/docs/api/python/overview.html)中查找過,但找不到任何有用的東西。方法 duckdb.execute(query,parameters) 似乎只適用于具有真正 sql 連接的數據庫,而不適用于數據幀。
stackoverflow 上還有一個關于此主題的問題(syntax for duckdb > python sql with parameter\variable),但答案僅適用于真正的 sql 連接,并且帶有 f 字符串的版本對我來說似乎不安全。
這是一個小代碼示例來說明我的意思:
import duckdb
import pandas as pd
df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
user_input = 3 # fetch some user_input here
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))
登錄后復制
那么您將如何解決這個問題呢? sql注入是否可能?感謝您的幫助,如果您需要更多信息,請隨時詢問更多詳細信息!
編輯:修復了代碼中的語法錯誤
正確答案
看來是有可能的:
>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()
id student
0 3 student_b
登錄后復制
