亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

問題內(nèi)容

在一個(gè)項(xiàng)目中，我正在使用 duckdb 對(duì)數(shù)據(jù)幀執(zhí)行一些查詢。對(duì)于其中一個(gè)查詢，我需要將一些用戶輸入添加到查詢中。這就是為什么我想知道在這種情況下是否可以進(jìn)行 sql 注入。用戶是否可以通過輸入損害應(yīng)用程序或系統(tǒng)？如果是這樣，我該如何防止這種情況發(fā)生？看來duckdb沒有用于數(shù)據(jù)幀查詢的preparedstatement。

我已經(jīng)在文檔（https://duckdb.org/docs/api/python/overview.html）中查找過，但找不到任何有用的東西。方法 duckdb.execute(query,parameters) 似乎只適用于具有真正 sql 連接的數(shù)據(jù)庫，而不適用于數(shù)據(jù)幀。

stackoverflow 上還有一個(gè)關(guān)于此主題的問題（syntax for duckdb > python sql with parameter\variable），但答案僅適用于真正的 sql 連接，并且?guī)в?f 字符串的版本對(duì)我來說似乎不安全。

這是一個(gè)小代碼示例來說明我的意思：

import duckdb
import pandas as pd

df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})
    
user_input = 3  # fetch some user_input here
    
# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))

登錄后復(fù)制

那么您將如何解決這個(gè)問題呢？ sql注入是否可能？感謝您的幫助，如果您需要更多信息，請(qǐng)隨時(shí)詢問更多詳細(xì)信息！

編輯：修復(fù)了代碼中的語法錯(cuò)誤

正確答案

看來是有可能的：

>>> duckdb.execute("""SELECT * FROM df_data WHERE id=?""", (user_input,)).df()

   id    student
0   3  student_b

登錄后復(fù)制