Как передать данные без кавычек в execute() безопасно, чтобы предотвратить SQL-инъекции (PyMySql)?

Question

[Edge226]

Тут такая ситуация. На сколько я понял, если я буду напрямую в SQL запрос вставлять в строку данные, это может привести к SQL инъекциям. Для его предотвращения нужно использовать параметризованные запросы, например:

cur.execute("SELECT * FROM users WHERE name = %s AND age = %s", (name, age))

но из этого рождается другая проблема. Мне нужно передать название таблицы, но синтаксис SQL не позволяет его мне передать через параметризованные запросы, так как ставятся кавычки.

cur.execute("SELECT * FROM %s WHERE name = %s AND age = %s", (table, name, age))

И из этого созрел вопрос, что мне делать в этом случае? Помогите пожалуйста.

Answer 1

[N]

https://stackoverflow.com/questions/54113887/place...

P.S.: Я бы проверял через "белый список" допустимые таблицы...независимо от экранирования в запросе...

Comments

[Edge226]

Значение таблицы может быть любым, и выбираю его не я к сожалению. На счет той темы с stackoverflow, как я уже сказал, это довольно не безопасный способ.

[N]

Edge226, Так я и говорю...белый список...если уж прям нифига неизвестно о имени самой таблицы...то как минимум самому написать обработчик этой строки...например, regxp:

[0-9A-z\_]+

Ну и в апострофы в самом запросе оформить строку...шаблон имени таблиц может хотя бы известен?

[Akina]

Edge226,

Значение таблицы может быть любым, и выбираю его не я к сожалению.

Да по барабану!

Просто проверь, что таблица с таким именем - существует. А запрос в INFORMATION_SCHEMA.TABLES на существование таблицы распрекрасно параметризуется.

[Edge226]

N, то есть, я так понял, сделать проверку на запрещенные слова? На счет шаблона, название таблицы может быть любым, какое пропустит сам MySQL

[N]

Edge226, Не запрашиваемые слова...а на символы допустимые для таблицы(это хотя бы) + в апострофы заключить эту строку в запросе...

+

Вот ещё прям дельный совет даёт Akina - это проверить в системной таблице отдельным запросом существование этой строки(названия таблицы)...

Просто проверь, что таблица с таким именем - существует. А запрос в INFORMATION_SCHEMA.TABLES на существование таблицы распрекрасно параметризуется.

[N]

Просто ответ Akina отвечает на решение самого бизнес-процесса задачи...
А на конкретный вопрос автора - только "полукостыли" для фильтрации))

[N]

P.S.: А "белый список" - это в том числе и решение в виде ответа Akina ...
По-моему - самое лучшее решение!

Answer 2

[Saboteur]

sql escape string для твоего языка программирования

например для php
https://www.php.net/manual/en/function.mysql-real-...

ну и вообще можно список конкретных таблиц в коде указывать, а через параметр их выбирать из этого списка, чтобы в лишние таблицы никто не лазил.