Warning: file_get_contents(/data/phpspider/zhask/data//catemap/7/sqlite/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/5/tfs/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Python sqlite全文搜索中的sql注入_Python_Sqlite_Full Text Search - Fatal编程技术网
Fatal编程技术网
  • python/
  • Python sqlite全文搜索中的sql注入

Python sqlite全文搜索中的sql注入

python sqlite

Python sqlite全文搜索中的sql注入,python,sqlite,full-text-search,Python,Sqlite,Full Text Search,考虑sqlite3fts4表 c.execute("CREATE VIRTUAL TABLE docs USING fts4(content)") 在txt包含字符串的sql注入中,以下内容是否安全 我不确定参数化查询是否安全,因为只有一个参数txt是字符串 c.execute("SELECT * FROM docs WHERE docs MATCH (?)",(txt,)) 是的,它不受SQL注入的影响;这就是SQL参数的作用,用于正确地转义和引用txt 如果要使用字符串格式(“…

考虑sqlite3fts4表

c.execute("CREATE VIRTUAL TABLE docs USING fts4(content)")
在txt包含字符串的sql注入中,以下内容是否安全

我不确定参数化查询是否安全,因为只有一个参数txt是字符串

c.execute("SELECT * FROM docs WHERE docs MATCH (?)",(txt,))
是的,它不受SQL注入的影响;这就是SQL参数的作用,用于正确地转义和引用
txt

如果要使用字符串格式(
“…MATCH(“%s”)%txt
“…MATCH(“{}”)”.format(txt)
,那么您将打开一个SQL注入向量,因为您不会在
txt
中转义元字符