إدراج المتغيرات بأمان في استعلامات SQL في Python

عند معالجة استعلامات قاعدة البيانات في بيثون ، عادة ما تحتاج إلى تضمين متغيرات في بيان الاستعلام. ومع ذلك ، تأكد من العمل بطريقة تمنع أخطاء بناء الجملة أو نقاط الضعف في الأمان.

فكر في رمز Python التالي:

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

في هذا الرمز ، var1 هو عدد صحيح ، var2 و var3 هي سلاسل. ومع ذلك ، عندما يحاول Python تضمين الأسماء VAR1 ، var2 ، و

لحل هذه المشكلة ، يمكنك استخدام آلية استبدال العنصر النائب الذي توفره واجهة برمجة تطبيقات قاعدة البيانات. فيما يلي كيفية إعادة كتابة الكود باستخدام العناصر النائبة:

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

في هذا الكود المحسّن:

• ٪ s يمثل عنصرًا نائبًا لملء القيمة.
• (var1 ، var2 ، var3) هو tuple تحتوي على القيمة المراد إدراجها.

من خلال تمرير القيم كـ tuples ، فإن واجهة برمجة تطبيقات قاعدة البيانات تعالج المتغيرات الضرورية والمراجع ، مما يضمن توافق قاعدة البيانات ومنع مخاطر الأمان المحتملة.

لاحظ أنه بالنسبة لمعلمة واحدة ، يلزم وجود معلمة واحدة مع فواصل زائدة:

cursor.execute("INSERT INTO table VALUES (%s)", (var1,))

بالإضافة إلى ذلك ، تجنب استخدام مشغل تنسيق السلسلة (٪) لإدراج متغيرات لأنه يمكن أن يسبب نقاط الضعف الأمان ولا يدعمها واجهة برمجة تطبيقات قاعدة البيانات.