Cómo quitar Cotizaciones en Python SQLite

A través del módulo de "SQLite", los usuarios de Python pueden conectarse a bases de datos, enviar consultas de bases de datos, y recoger los resultados de esas consultas. Esto ofrece a los programadores una forma eficaz de integrar las llamadas bases de datos en sus scripts de Python. Sin embargo, la lectura de los datos en bruto de los usuarios en Python puede presentar un agujero de seguridad. Los atacantes pueden insertar comillas en lugares estratégicos con el fin de inyectar comandos SQL en la base de datos y ejecutar comandos no deseados. Al utilizar el método de parámetro de sustitución de método "ejecutar" de sqlite3, el módulo sqlite3 se tira cita inseguro y hacer que la entrada segura para su uso.

Instrucciones

1 Importación Sqlite3 en la secuencia de comandos de la siguiente manera:

! / Usr / bin / python

sqlite3 importación

2 Conectarse a una base de datos de archivo con el método de "conectar":

conn = sqlite3.connect ( '/ home / db / data')

3 Crear una cadena con algunas citas inseguras en las que:

entrada = 'que necesita esta "cita" limpian "

4 Ejecutar una consulta en la base de datos utilizando "ejecutar" y la sustitución de parámetros:

curs = conn.cursor ()
curs.execute ( 'select * from fila donde símbolo =?', de entrada)