如何使用熊猫read_gbq防止SQL注入

时间:2019-07-25 12:54:33

标签: python sql pandas google-bigquery sql-injection

我如何安全地使用pandas_gbq.read_gbq来防止SQL注入,因为我在文档中找不到能够对其进行参数化的方法

我已经通过参数化方法以及Google网站和其他来源查看了文档。

df_valid = read_gbq(QUERY_INFO.format(variable), project_id='project-1622', location='EU')查询看起来像SELECT name, date FROM table WHERE id = '{0}'

我可以输入p'或'1'='1并且有效

1 个答案:

答案 0 :(得分:0)

对于每个Google BigQuery docs,您必须使用带有SQL参数化语句的指定配置:

import pandas as pd

sql = "SELECT name, date FROM table WHERE id = @id"

query_config = {
    'query': {
        'parameterMode': 'NAMED',
        'queryParameters': [
            {
                'name': 'id',
                'parameterType': {'type': 'STRING'},
                'parameterValue': {'value': 1}
            }
        ]
    }
}

df = pd.read_gbq(sql, project_id='project-1622', location='EU', configuration=query_config)
相关问题
最新问题