Possible SQL injection vector through string-based query construction. #75

dim5x · 2020-09-19T21:28:30Z

Describe the bug

- query = 'select count(1) _count from [admin] where [login] = %(login)s' % {'login': login}
- ''' % {'login': login, 'description': description}
- ''' % {'login': login}
- ''' % {'login': login, 'hash': hash_sha384}

-Важно!

Никогда, ни при каких условиях, не используйте конкатенацию строк (+) или интерполяцию параметра в строке (%) для передачи переменных в SQL запрос. Такое формирование запроса, при возможности попадания в него пользовательских данных – это ворота для SQL-инъекций!

Правильный способ – использование второго аргумента метода .execute()

Возможны два варианта:

C подстановкой по порядку на места знаков вопросов:
cursor.execute("SELECT Name FROM Artist ORDER BY Name LIMIT ?", ('2'))
И с использованием именованных замен:
cursor.execute("SELECT Name from Artist ORDER BY Name LIMIT :limit", {"limit": 3})

The text was updated successfully, but these errors were encountered:

dim5x added the bug Something isn't working label Sep 19, 2020

dim5x assigned dim5x and Baron-Munchhausen Sep 19, 2020

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Possible SQL injection vector through string-based query construction. #75

Possible SQL injection vector through string-based query construction. #75

dim5x commented Sep 19, 2020

Possible SQL injection vector through string-based query construction. #75

Possible SQL injection vector through string-based query construction. #75

Comments

dim5x commented Sep 19, 2020