AsIs असुरक्षित है, जब तक कि आप वास्तव में नहीं जानते कि आप क्या कर रहे हैं। उदाहरण के लिए आप इसे यूनिट परीक्षण के लिए उपयोग कर सकते हैं।
पैरामीटर पास करना असुरक्षित नहीं है, जब तक कि आप अपनी एसक्यूएल क्वेरी को प्री-फॉर्मेट नहीं करते हैं। कभी न करें:
sql_query = 'SELECT * FROM {}'.format(user_input)
cur.execute(sql_query)
चूंकि user_input ';DROP DATABASE;' . हो सकता है उदाहरण के लिए।
इसके बजाय, करें:
sql_query = 'SELECT * FROM %s'
cur.execute(sql_query, (user_input,))
pyscopg2 आपकी क्वेरी को साफ कर देगा। इसके अलावा, यदि आप वास्तव में अपने उपयोगकर्ता के इनपुट पर भरोसा नहीं करते हैं, तो आप अपने कोड में पैरामीटर को अपने तर्क से पूर्व-स्वच्छता कर सकते हैं।
प्रति psycopg2 दस्तावेज़ीकरण
:
साथ ही, मैं कभी भी, अपने उपयोगकर्ताओं को मुझे यह नहीं बताने दूंगा कि मुझे कौन सी तालिका पूछनी चाहिए। आपके ऐप का तर्क (या मार्ग) आपको यह बताना चाहिए।
AsIs() . के संबंध में , प्रति psycopg2 दस्तावेज़ीकरण
:
इसलिए, उपयोगकर्ता के इनपुट के साथ इसका उपयोग न करें।
