0

我正在开发一个项目,该项目有很多在 python 中运行的查询。当我执行强盗检查时,我看到了问题 -

Test results:
>> Issue: [B608:hardcoded_sql_expressions] Possible SQL injection vector through string-based query construction.
   Severity: Medium   Confidence: Low
   Location: main.py:160
   More Info: https://bandit.readthedocs.io/en/latest/plugins/b608_hardcoded_sql_expressions.html

这个问题出现在我使用原始 SQL 查询的所有地方。

如何修改字符串插值来解决问题?

示例代码 -

import pandas as pd

table_name = "orders"

df = pd.read_sql(sql=f'''
    SELECT * FROM {table_name};
''')

我尝试了以下方法,但没有奏效。

import pandas as pd

table_name = "orders"

# Try 1
df = pd.read_sql(sql='''
    SELECT * FROM {};
'''.format(table_name))

# Try 2
df = pd.read_sql(sql='''
    SELECT * FROM %s;
''' %(table_name,))

我关注了这个博客,但我可能无法使用cursor来自psycopg2. 因此,需要一些可以帮助字符串格式化和插值的东西,因为我将能够在pandas库中使用它。

4

1 回答 1

0

如果您将 cur.fetchall 对象转换为数据框,那么它将起作用

cur.execute("select instrument, price, date from my_prices")
df = DataFrame(cur.fetchall(), columns=['instrument', 'price', 'date'])
于 2021-12-28T07:38:41.393 回答