SQLインジェクションとは何ですか？どうすればそれを防ぐことができますか？

SQLインジェクションは、Webハッキング手法です。これは、悪意のあるコードをデータベースに挿入し、データベースを破壊するコードインジェクション技術です。これは、Webページ入力を介した悪意のあるコードの挿入です。

SQLインジェクションの主な原因は、データベース内のデータを操作するSQLクエリにデータをスマートに提供することです。

学生のデータを含むテーブルがあるとします。各学生は、自分の学生IDを使用して自分のデータを表示できます。 SQLクエリは、学生からの学生ID入力を受け取るように設計されています。

これで、学生は自分の学生IDを「12345または1=1」と入力できます。これは、followinqクエリに変換されます。

SELECT * FROM Students WHERE id==12345 or 1=1

これで、1 =1が常に真であるため、上記のクエリは他の学生のレコードも返します。したがって、他の学生のデータは安全ではなく、ハッカーによる誤用の傾向があります。

Mysqlコネクタモジュールには、SQLインジェクションを防ぐためにクエリ値をエスケープするメソッドがあります。クエリ値は、プレースホルダー％sを使用してエスケープできます。

「MyTable」という名前のテーブルがあるとします。

+----------+---------+-----------+------------+
|    Name  | Class   |    City   |    Marks   |
+----------+---------+-----------+------------+
|    Karan |    4    | Amritsar  |    95      |
|    Sahil |    6    | Amritsar  |    93      |
|    Kriti |    3    | Batala    |    88      |
|   Khushi |    9    | Delhi     |    90      |
|    Kirat |    5    | Delhi     |    85      |
+----------+---------+-----------+------------+

例

import mysql.connector

db=mysql.connector.connect(host="your host", user="your username", password="your
password",database="database_name")

cursor=db.cursor()

query="SELECT * FROM Students WHERE Name=%s"
name=("Karan",)

cursor.execute(query,name)

for row in myresult:
   print(row)

上記のコードは、プレースホルダーを使用してクエリ値をエスケープする方法を示しています。

出力

(‘Karan’, 4, ‘Amritsar’ , 95)