pandas 数据帧上的 duckdb 查询中的 SQL 注入
在一个项目中,我正在使用 duckdb 对数据帧执行一些查询。对于其中一个查询,我需要将一些用户输入添加到查询中。这就是为什么我想知道在这种情况下是否可以进行 sql 注入。用户是否可以通过输入损害应用程序或系统?如果是这样,我该如何防止这种情况发生?看来duckdb没有用于数据帧查询的preparedstatement。
我已经在文档(https://duckdb.org/docs/api/python/overview.html)中查找过,但找不到任何有用的东西。方法 duckdb.execute(query,parameters) 似乎只适用于具有真正 sql 连接的数据库,而不适用于数据帧。
stackoverflow 上还有一个关于此主题的问题(syntax for duckdb > python sql with parameter\variable),但答案仅适用于真正的 sql 连接,并且带有 f 字符串的版本对我来说似乎不安全。
这是一个小代码示例来说明我的意思:
import duckdb
import pandas as pd
df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
user_input = 3 # fetch some user_input here
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))那么您将如何解决这个问题呢? sql注入是否可能?感谢您的帮助,如果您需要更多信息,请随时询问更多详细信息!
编辑:修复了代码中的语法错误
正确答案
看来是有可能的:
>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()
id student
0 3 student_b以上就是pandas 数据帧上的 duckdb 查询中的 SQL 注入的详细内容,更多请关注编程网其它相关文章!
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
pandas 数据帧上的 duckdb 查询中的 SQL 注入
下载Word文档到电脑,方便收藏和打印~
猜你喜欢
pandas 数据帧上的 duckdb 查询中的 SQL 注入
如何在 Pandas 的 SQL 查询样式中选择数据子集?
Pandas数据查询的集中实现方法
Pandas数据查询的集中如何实现
SQL参数化查询能防止SQL注入的原因是什么
sql中查询重复数据的命令
Mybatisplus怎么自定义SQL注入器查询@TableLogic逻辑删除后的数据
sql中查询表中特定重复数据的函数
sql怎么查询数据库中所有的表
Mybatis-plus自定义SQL注入器查询@TableLogic逻辑删除后的数据详解
sql中实现数据查询的命令是哪个
sql中实现数据查询的命令是哪个函数
sql中用来查询数据库内容的关键字
