Надо ли что-то еще делать для избежания SQL инъекций?

Question

[RimMirK]

Составляю запрос с помощью сборщика (не знаю как называется). надо ли что-то еще делать для избежания неприятностей?

self.cursor.execute("INSERT INTO `users` (`tg_id`, `fname`, `lname`, `uname`, `nickname`) VALUES (?, ?, ?, ?, ?)", 
                                         (    id,   fname,   lname,   uname,   fname ))
self.connect.commit()

Answer 1

[ThunderCat]

(не знаю как называется)

Называется подготовленные выражения/prepared statements, почитать можно тут.

Answer 2

[rPman]

Конкретно для защиты от одной из многих атак - sql injection, да
А еще нужно проверять на ошибки, проверять на валидность самих значений соответственно бизнес модели и состояний (например пользователь редактирует запись, указывая идентификатор связанной таблицы, так вот нужно проверить имеет ли он права в принципе указывать полученный id)

Comments

[RimMirK]

а чтобы от всего от греха подальше, что надо делать? есть какая-нибудь хорошая статься на эту тему?

[rPman]

боюсь простых ответов тут нет, на эту тему целые курсы оканчивают.

[ThunderCat]

rPman,

пользователь редактирует запись, указывая идентификатор связанной таблицы

по большому счету это никак не относится к инъекциям. Чисто логика ролей.

[Adamos]

RimMirK, чтобы от всего от греха подальше - это обесточить компьютер.
А чтобы безопасность - это не искать волшебные палочки, а изучать предметную часть и защиты от конкретных векторов атак. Без магии.

Answer 3

[mayton2019]

Нет. Ничего больше не нужно делать. Вообще не нужно делать никаких действий которые нельзя доказать или как-то протестировать. Иначе программирование превращается в черную магию и колдунство.