SQL-инъекция в DuckDB-запросы в кадрах данных Pandas

SQL-инъекция в DuckDB-запросы в кадрах данных Pandas ⇐ Python

1 сообщение • Страница 1 из 1

Anonymous

SQL-инъекция в DuckDB-запросы в кадрах данных Pandas

Цитата

Сообщение Anonymous » 14 фев 2026, 14:18

В проекте я работаю с DuckDB для выполнения некоторых запросов к кадрам данных. Для одного из запросов у меня есть пользовательский ввод, который мне нужно добавить в запрос. Вот почему мне интересно, возможна ли в этом случае SQL-инъекция. Есть ли способ, которым пользователь может нанести вред приложению или системе посредством ввода? И если да, то как я мог предотвратить этот случай? Кажется, что в Duckdb нет ReadedStatement для запросов к кадрам данных.
Я уже искал документацию (https://duckdb.org/docs/api/python/overview.html), но не нашел ничего полезного. Метод Duckdb.execute(query, options), похоже, работает только с базами данных с реальным sql-соединением, а не с фреймами данных.
Есть еще один вопрос по stackoverflow (Синтаксис для Duckdb > Python SQL с параметром\переменной) по этой теме, но ответ работает только на реальных sql-соединениях, а версия с f-строками кажется мне небезопасной.
Здесь это небольшой пример кода, показывающий, что я имею в виду:

Код: Выделить всё

import duckdb
import pandas as pd

df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})

user_input = 3  # fetch some user_input here

# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))

Итак, как бы вы подошли к этой проблеме? Возможна ли вообще sql-инъекция? Спасибо за вашу помощь. Не стесняйтесь спрашивать подробности, если вам нужна дополнительная информация!
РЕДАКТИРОВАНИЕ: исправлена синтаксическая ошибка в коде

Подробнее здесь: https://stackoverflow.com/questions/778 ... dataframes

1771067895

Anonymous

В проекте я работаю с DuckDB для выполнения некоторых запросов к кадрам данных. Для одного из запросов у меня есть пользовательский ввод, который мне нужно добавить в запрос. Вот почему мне интересно, возможна ли в этом случае SQL-инъекция. Есть ли способ, которым пользователь может нанести вред приложению или системе посредством ввода? И если да, то как я мог предотвратить этот случай? Кажется, что в Duckdb нет ReadedStatement для запросов к кадрам данных.
Я уже искал документацию (https://duckdb.org/docs/api/python/overview.html), но не нашел ничего полезного. Метод Duckdb.execute(query, options), похоже, работает только с базами данных с реальным sql-соединением, а не с фреймами данных.
Есть еще один вопрос по stackoverflow (Синтаксис для Duckdb > Python SQL с параметром\переменной) по этой теме, но ответ работает только на реальных sql-соединениях, а версия с f-строками кажется мне небезопасной.
Здесь это небольшой пример кода, показывающий, что я имею в виду:
[code]import duckdb
import pandas as pd

df_data = pd.DataFrame({'id': [1, 2, 3, 4], 'student': ['student_a', 'student_a', 'student_b', 'student_c']})

user_input = 3  # fetch some user_input here

# How to prevent sql-injection, if its even possible in this case?
result = duckdb.query("SELECT * FROM df_data WHERE id={}".format(user_input))
[/code]
Итак, как бы вы подошли к этой проблеме? Возможна ли вообще sql-инъекция? Спасибо за вашу помощь. Не стесняйтесь спрашивать подробности, если вам нужна дополнительная информация!
РЕДАКТИРОВАНИЕ: исправлена синтаксическая ошибка в коде 

Подробнее здесь: [url]https://stackoverflow.com/questions/77884985/sql-injection-in-duckdb-queries-on-pandas-dataframes[/url]