Есть ли разница между написаниями?

Question

[likeviolence]

Есть ил разница между этими примерами? Просто не могу найти информацию про sql иньекцию и защиту

sql = "UPDATE data SET inventory = %s WHERE id = %s"
	val = (inventory - 1, id)
	cursor.execute(sql, val)

cursor.execute("UPDATE data SET inventory = {inventory - 1} WHERE id = {id}")

Answer 1

[Amoralny Kot]

Когда вводишь данные, ставь их в "", тогда SQL будет читать их как строки.

UPDATE data SET inventory = "{inventory}" WHERE id = "id";

И даже если вставить вместо id какой-то код для изменения базы, то SQL будет искать что-то типа:
... id="6346327; DROP DATABASE base";

Еще в cursor() есть свой ввод данных

cursor.execute("UPDATE data SET inventory = :inventory WHERE id = :id", {"inventory" : inventory-1, "id" : id})
#или
cursor.execute("UPDATE data SET inventory = ? WHERE id = ?", (inventory-1, id))

Если же надо полностью запретить использование команд SQL, то проверяй каждый запрос на их наличие.
Еще можно выдать определенные права пользователю SQL и тогда он сможет только читать, обновлять и добавлять, что, на мой взгляд, не так страшно, как полное удаление базы.

ps. не юзай root пользователя для запросов :D

Comments

[likeviolence]

То есть, если блок кода срабатывает только после введения пользователем определенной команды, к примеру: /inventory и написать подобное DROP DATABASE он никак не может, то и смысла защищаться нет никакого, я правильно понимаю?

[Amoralny Kot]

likeviolence, смысл в том, что если ты ставишь запрос пользователя в "", то не важно, что он введет, поскольку любой его запрос будет в стройкой, а не запросом и обойти это не получится, если поставить \ (он отменяет "), то будет ошибка запроса.

Кстати, было бы хорошо вообще не давать возможность писать какие-то данные в запрос или тщательно проверять его.

Answer 2

[Roman K]

Ну подставь id="1; DELETE FROM data" и сразу увидишь:)

Answer 3

[ThunderCat]

В первом варианте просто будет ошибка, если inventory у вас числовое поле. Во втором случае возможна инъекция, как указал вам Roman Kitaev. Гуглите подготовленные выражения в питоне. Единственно не вижу конфигурации подключения к бд, в ней дожно быть прописаноcursor = connection.cursor(prepared=True), но емнип без этого и магия первого запроса не будет работать вообще...

Comments

[likeviolence]

Конечно там есть конект к базе. И что значит первый не будет работать если он сейчас стоит в коде и работает?...

[ThunderCat]

likeviolence, Еще раз - если будет включено препаред тру то будет работать как подготовленные выражения, если нет - будет просто подстановка, и никакой защиты вы не получите.
И вообще забиватьSET inventory = inventory - 1через плейсхолдеры не имеет никакого смысла.

[likeviolence]

ThunderCat, Почему не имеет смысла?

[ThunderCat]

likeviolence, по тому что во первых это не пользовательский ввод, а формула, если вы сами туда какой-нибудь бред не пропишете то ничего страшного не случится, а во вторых - при использовании плейсхолдеров в режиме препэйред стэйтментс работать такая конструкция вообще не будет, если у вас поле inventory числовое (а судя по всему оно должно быть таковым).

[likeviolence]

ThunderCat, вы второй раз пишите что работать не будет, но это сейчас стоит в боте и работает, я переменную inventory до этого отдельно получал и отнимаю от того значения единицу и обновляю, думаю это логично...

[ThunderCat]

likeviolence, я второй раз повторяю что у вас должна для этого быть включена опция подготовленных выражений.