Анализ уязвимостей в коде на Go и Python: Как обнаружить потенциальные риски

Программирование на Go и Python становится все более популярным, и разработчики по всему миру активно используют эти языки для создания приложений и сервисов. Однако, при написании кода нет гарантии отсутствия уязвимостей и слабых мест, которые могут стать точкой входа для злоумышленников. В этой статье мы рассмотрим методы анализа кода на Go и Pyt…

11

Подскажите, из чего следует, что user_id в вашем примере, это пользовательский ввод?

Автор

Извините за путаницу. В примере на Python, user_id не является явным пользовательским вводом, так как он передается в функцию как аргумент. Ошибка в этом коде скрыта в том, что он создает SQL-запрос, используя строковую конкатенацию, а не параметризованный запрос.

Чтобы исправить это и избежать потенциальной SQL-инъекции, следует использовать параметризованные запросы. Вот исправленный вариант:

import sqlite3

def get_user_data(user_id):
conn = sqlite3.connect("users.db")
cursor = conn.cursor()
query = "SELECT * FROM users WHERE id = ?"
cursor.execute(query, (user_id,))
user_data = cursor.fetchone()
conn.close()
return user_data

Теперь user_id передается как параметр запроса, и это делает код более безопасным и защищенным от SQL-инъекций.

1