{"id":84251,"date":"2024-11-17T13:19:24","date_gmt":"2024-11-17T09:49:24","guid":{"rendered":"https:\/\/nabfollower.com\/blog\/prevent-sql-injection-in-restful-apis-a-comprehensive-guide-5e6\/"},"modified":"2024-11-17T13:19:24","modified_gmt":"2024-11-17T09:49:24","slug":"prevent-sql-injection-in-restful-apis-a-comprehensive-guide-5e6","status":"publish","type":"post","link":"https:\/\/nabfollower.com\/blog\/prevent-sql-injection-in-restful-apis-a-comprehensive-guide-5e6\/","title":{"rendered":"\u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u0627\u0632 \u062a\u0632\u0631\u06cc\u0642 SQL \u062f\u0631 API \u0647\u0627\u06cc RESTful: \u0631\u0627\u0647\u0646\u0645\u0627\u06cc \u062c\u0627\u0645\u0639"},"content":{"rendered":"

Summarize this content to 400 words in Persian Lang <\/p>\n

\u062f\u0631\u06a9 SQL Injection (SQLi) \u062f\u0631 RESTful API<\/p>\n

SQL Injection (SQLi) \u06cc\u06a9\u06cc \u0627\u0632 \u0631\u0627\u06cc\u062c\u200c\u062a\u0631\u06cc\u0646 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627 \u062f\u0631 \u0628\u0631\u0646\u0627\u0645\u0647\u200c\u0647\u0627\u06cc \u06a9\u0627\u0631\u0628\u0631\u062f\u06cc \u0648\u0628 \u0627\u0633\u062a \u06a9\u0647 API\u0647\u0627\u06cc RESTful \u0631\u0627 \u0628\u0631\u0627\u06cc \u0627\u0633\u062a\u062e\u0631\u0627\u062c \u0627\u0637\u0644\u0627\u0639\u0627\u062a \u062d\u0633\u0627\u0633 \u06cc\u0627 \u0628\u0647 \u062e\u0637\u0631 \u0627\u0646\u062f\u0627\u062e\u062a\u0646 \u0633\u06cc\u0633\u062a\u0645\u200c\u0647\u0627 \u0647\u062f\u0641 \u0642\u0631\u0627\u0631 \u0645\u06cc\u200c\u062f\u0647\u062f. API\u0647\u0627\u06cc REST \u06a9\u0647 \u0628\u0631 \u0645\u062f\u06cc\u0631\u06cc\u062a \u0646\u0627\u062f\u0631\u0633\u062a \u0648\u0631\u0648\u062f\u06cc \u06a9\u0627\u0631\u0628\u0631 \u0645\u062a\u06a9\u06cc \u0647\u0633\u062a\u0646\u062f\u060c \u0627\u0647\u062f\u0627\u0641 \u0627\u0635\u0644\u06cc \u0645\u0647\u0627\u062c\u0645\u0627\u0646 \u0647\u0633\u062a\u0646\u062f. <\/p>\n

\u062f\u0631 \u0627\u06cc\u0646 \u0648\u0628\u0644\u0627\u06af\u060c SQLi\u060c \u062a\u0623\u062b\u06cc\u0631 \u0622\u0646 \u0628\u0631 API\u0647\u0627\u06cc RESTful\u060c \u062a\u06a9\u0646\u06cc\u06a9\u200c\u0647\u0627\u06cc \u067e\u06cc\u0634\u06af\u06cc\u0631\u06cc\u060c \u0648 \u0646\u062d\u0648\u0647 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u0627\u0628\u0632\u0627\u0631 \u0631\u0627\u06cc\u06af\u0627\u0646 \u0628\u0631\u0631\u0633\u06cc \u0627\u0645\u0646\u06cc\u062a \u0648\u0628\u200c\u0633\u0627\u06cc\u062a \u0645\u0627 \u0628\u0631\u0627\u06cc \u0627\u0631\u0632\u06cc\u0627\u0628\u06cc API\u0647\u0627\u06cc \u062e\u0648\u062f \u062f\u0631 \u0628\u0631\u0627\u0628\u0631 \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc\u200c\u0647\u0627\u06cc\u06cc \u0645\u0627\u0646\u0646\u062f SQL Injection \u0631\u0627 \u0628\u0631\u0631\u0633\u06cc \u062e\u0648\u0627\u0647\u06cc\u0645 \u06a9\u0631\u062f. <\/p>\n

SQL Injection \u062f\u0631 RESTful API \u0686\u06cc\u0633\u062a\u061f<\/p>\n

SQL Injection \u0632\u0645\u0627\u0646\u06cc \u0627\u062a\u0641\u0627\u0642 \u0645\u06cc \u0627\u0641\u062a\u062f \u06a9\u0647 \u0648\u0631\u0648\u062f\u06cc \u0645\u062e\u0631\u0628 \u0628\u0647 \u0639\u0646\u0648\u0627\u0646 \u0628\u062e\u0634\u06cc \u0627\u0632 \u06cc\u06a9 \u067e\u0631\u0633 \u0648 \u062c\u0648\u06cc SQL \u0627\u062c\u0631\u0627 \u0634\u0648\u062f. \u062f\u0631 API \u0647\u0627\u06cc RESTful\u060c \u0645\u0647\u0627\u062c\u0645\u0627\u0646 \u0627\u0632 \u0646\u0642\u0627\u0637 \u067e\u0627\u06cc\u0627\u0646\u06cc \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0628\u0631\u0627\u06cc \u062f\u0648\u0631 \u0632\u062f\u0646 \u0627\u062d\u0631\u0627\u0632 \u0647\u0648\u06cc\u062a\u060c \u0628\u0627\u0632\u06cc\u0627\u0628\u06cc \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062d\u0633\u0627\u0633 \u06cc\u0627 \u067e\u0627\u06cc\u06af\u0627\u0647 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062e\u0631\u0627\u0628 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u06cc \u06a9\u0646\u0646\u062f. <\/p>\n

\u062a\u0632\u0631\u06cc\u0642 SQL \u0686\u06af\u0648\u0646\u0647 \u06a9\u0627\u0631 \u0645\u06cc \u06a9\u0646\u062f\u061f<\/p>\n

\u0627\u06cc\u0646 \u0646\u0642\u0637\u0647 \u067e\u0627\u06cc\u0627\u0646\u06cc \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631 \u0631\u0627 \u062f\u0631 \u0646\u0638\u0631 \u0628\u06af\u06cc\u0631\u06cc\u062f:<\/p>\n

from flask import Flask, request
\nimport sqlite3<\/p>\n

app = Flask(__name__)<\/p>\n

@app.route(‘\/users’, methods=[‘GET’])
\ndef get_user():
\n user_id = request.args.get(‘id’)
\n conn = sqlite3.connect(‘database.db’)
\n cursor = conn.cursor()
\n query = f”SELECT * FROM users WHERE id = {user_id};”
\n cursor.execute(query)
\n user = cursor.fetchone()
\n return {‘user’: user}<\/p>\n

if __name__ == ‘__main__’:
\n app.run()<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u06af\u0631 \u0645\u0647\u0627\u062c\u0645 \u0627\u0631\u0633\u0627\u0644 \u06a9\u0646\u062f id=1 OR 1=1\u060c \u067e\u0631\u0633 \u0648 \u062c\u0648 \u0645\u06cc \u0634\u0648\u062f:<\/p>\n

SELECT * FROM users WHERE id = 1 OR 1=1;<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u06cc\u0646 \u067e\u0631\u0633 \u0648 \u062c\u0648 \u0647\u0645\u0647 \u0631\u062f\u06cc\u0641 \u0647\u0627 \u0631\u0627 \u0628\u0627\u0632\u06cc\u0627\u0628\u06cc \u0645\u06cc \u06a9\u0646\u062f \u0648 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062d\u0633\u0627\u0633 \u0631\u0627 \u062f\u0631 \u0645\u0639\u0631\u0636 \u0646\u0645\u0627\u06cc\u0634 \u0642\u0631\u0627\u0631 \u0645\u06cc \u062f\u0647\u062f. <\/p>\n

\u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u0627\u0632 \u062a\u0632\u0631\u06cc\u0642 SQL \u062f\u0631 API \u0647\u0627\u06cc RESTful<\/p>\n

1. \u0627\u0632 \u067e\u0631\u0633 \u0648 \u062c\u0648\u0647\u0627\u06cc \u067e\u0627\u0631\u0627\u0645\u062a\u0631\u06cc \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u06a9\u0646\u06cc\u062f\u067e\u0631\u0633 \u0648 \u062c\u0648\u0647\u0627\u06cc \u067e\u0627\u0631\u0627\u0645\u062a\u0631\u06cc \u062a\u0636\u0645\u06cc\u0646 \u0645\u06cc \u06a9\u0646\u0646\u062f \u06a9\u0647 \u0648\u0631\u0648\u062f\u06cc \u0628\u0647 \u0639\u0646\u0648\u0627\u0646 \u062f\u0627\u062f\u0647 \u062f\u0631 \u0646\u0638\u0631 \u06af\u0631\u0641\u062a\u0647 \u0645\u06cc \u0634\u0648\u062f\u060c \u0646\u0647 \u06a9\u062f \u0627\u062c\u0631\u0627\u06cc\u06cc. \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u06cc\u06a9 \u0646\u0633\u062e\u0647 \u0627\u0645\u0646 \u062a\u0631 \u0627\u0632 \u06a9\u062f \u0628\u0627\u0644\u0627 \u0622\u0645\u062f\u0647 \u0627\u0633\u062a:<\/p>\n

@app.route(‘\/users’, methods=[‘GET’])
\ndef get_user():
\n user_id = request.args.get(‘id’)
\n conn = sqlite3.connect(‘database.db’)
\n cursor = conn.cursor()
\n query = “SELECT * FROM users WHERE id = ?;”
\n cursor.execute(query, (user_id,))
\n user = cursor.fetchone()
\n return {‘user’: user}<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

2. \u0627\u0639\u062a\u0628\u0627\u0631 \u0648\u0631\u0648\u062f\u06cc \u06a9\u0627\u0631\u0628\u0631\u0647\u0645\u06cc\u0634\u0647 \u0648\u0631\u0648\u062f\u06cc \u0631\u0627 \u0628\u0631\u0627\u06cc \u0645\u0637\u0627\u0628\u0642\u062a \u0628\u0627 \u0642\u0627\u0644\u0628\u200c\u0647\u0627\u06cc \u0645\u0648\u0631\u062f \u0627\u0646\u062a\u0638\u0627\u0631 \u062a\u0623\u06cc\u06cc\u062f \u06a9\u0646\u06cc\u062f. \u0628\u0647 \u0639\u0646\u0648\u0627\u0646 \u0645\u062b\u0627\u0644:<\/p>\n

def validate_id(user_id):
\n if not user_id.isdigit():
\n raise ValueError(“Invalid user ID”)<\/p>\n

\u0648\u0627\u0631\u062f \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u0634\u0648\u06cc\u062f<\/p>\n

\u0627\u0632 \u062d\u0627\u0644\u062a \u062a\u0645\u0627\u0645 \u0635\u0641\u062d\u0647 \u062e\u0627\u0631\u062c \u0634\u0648\u06cc\u062f<\/p>\n

3. \u0628\u0647\u062a\u0631\u06cc\u0646 \u0631\u0648\u0634 \u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc API \u0631\u0627 \u067e\u06cc\u0627\u062f\u0647 \u0633\u0627\u0632\u06cc \u06a9\u0646\u06cc\u062f <\/p>\n

\u0645\u062d\u062f\u0648\u062f \u06a9\u0631\u062f\u0646 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062f\u0631 \u0645\u0639\u0631\u0636: \u0627\u0632 \u0628\u0627\u0632\u06af\u0631\u062f\u0627\u0646\u062f\u0646 \u06a9\u0644 \u0648\u0631\u0648\u062f\u06cc \u0647\u0627\u06cc \u067e\u0627\u06cc\u06af\u0627\u0647 \u062f\u0627\u062f\u0647 \u062e\u0648\u062f\u062f\u0627\u0631\u06cc \u06a9\u0646\u06cc\u062f.<\/p>\n

\u0627\u0632 \u0647\u062f\u0631\u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u06a9\u0646\u06cc\u062f: \u067e\u06cc\u0627\u062f\u0647 \u0633\u0627\u0632\u06cc \u0647\u062f\u0631 \u0645\u0627\u0646\u0646\u062f Content-Security-Policy.<\/p>\n

\u0641\u0639\u0627\u0644 \u06a9\u0631\u062f\u0646 \u06af\u0632\u0627\u0631\u0634 API: \u0646\u0638\u0627\u0631\u062a \u0628\u0631 \u062f\u0631\u062e\u0648\u0627\u0633\u062a \u0647\u0627 \u0628\u0631\u0627\u06cc \u062a\u0634\u062e\u06cc\u0635 \u0627\u0644\u06af\u0648\u0647\u0627\u06cc \u063a\u06cc\u0631\u0639\u0627\u062f\u06cc.<\/p>\n

\u0627\u0632 \u062c\u0633\u062a\u062c\u0648\u06af\u0631 \u0627\u0645\u0646\u06cc\u062a \u0648\u0628 \u0633\u0627\u06cc\u062a \u0631\u0627\u06cc\u06af\u0627\u0646 \u0628\u0631\u0627\u06cc \u0645\u062d\u0627\u0641\u0638\u062a \u0627\u0632 SQLi \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u06a9\u0646\u06cc\u062f<\/p>\n

\u0627\u0628\u0632\u0627\u0631 \u0628\u0631\u0631\u0633\u06cc \u0627\u0645\u0646\u06cc\u062a \u0648\u0628 \u0633\u0627\u06cc\u062a \u0645\u0627 \u0634\u0646\u0627\u0633\u0627\u06cc\u06cc \u0622\u0633\u06cc\u0628 \u067e\u0630\u06cc\u0631\u06cc \u0647\u0627\u06cc \u062a\u0632\u0631\u06cc\u0642 SQL \u0631\u0627 \u0633\u0627\u062f\u0647 \u0645\u06cc \u06a9\u0646\u062f. \u062f\u0631 \u0632\u06cc\u0631 \u0646\u0645\u0648\u0646\u0647 \u0627\u06cc \u0627\u0632 \u0627\u0633\u06a9\u0631\u06cc\u0646 \u0634\u0627\u062a \u06af\u0632\u0627\u0631\u0634 \u0627\u0632 \u0627\u0628\u0632\u0627\u0631 \u0645\u0627 \u0628\u0631\u0627\u06cc \u06a9\u0645\u06a9 \u0628\u0647 \u062a\u062c\u0633\u0645 \u06cc\u0627\u0641\u062a\u0647 \u0647\u0627\u06cc \u0622\u0646 \u0622\u0648\u0631\u062f\u0647 \u0634\u062f\u0647 \u0627\u0633\u062a: <\/p>\n

\u0627\u0632 \u0627\u06cc\u0646 \u0627\u0628\u0632\u0627\u0631 \u0628\u0631\u0627\u06cc \u0627\u0633\u06a9\u0646 \u0646\u0642\u0627\u0637 \u067e\u0627\u06cc\u0627\u0646\u06cc RESTful API \u0648 \u0627\u06cc\u0645\u0646 \u0633\u0627\u0632\u06cc \u0628\u0631\u0646\u0627\u0645\u0647 \u062e\u0648\u062f \u0642\u0628\u0644 \u0627\u0632 \u0633\u0648\u0621 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0645\u0647\u0627\u062c\u0645\u0627\u0646 \u0627\u0632 \u0647\u0631\u06af\u0648\u0646\u0647 \u062d\u0641\u0631\u0647 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u06a9\u0646\u06cc\u062f. <\/p>\n

\u0639\u0644\u0627\u0648\u0647 \u0628\u0631 \u0627\u06cc\u0646\u060c \u062f\u0631 \u0627\u06cc\u0646\u062c\u0627 \u06cc\u06a9 \u0639\u06a9\u0633 \u0641\u0648\u0631\u06cc \u0627\u0632 \u0635\u0641\u062d\u0647 \u0627\u0635\u0644\u06cc \u0627\u0628\u0632\u0627\u0631 \u0645\u0627 \u0628\u0631\u0627\u06cc \u0646\u0634\u0627\u0646 \u062f\u0627\u062f\u0646 \u0633\u0647\u0648\u0644\u062a \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u0622\u0646 \u0622\u0648\u0631\u062f\u0647 \u0634\u062f\u0647 \u0627\u0633\u062a: <\/p>\n

\u0686\u0631\u0627 \u0631\u0648\u06cc \u067e\u06cc\u0634\u06af\u06cc\u0631\u06cc \u0627\u0632 SQLi \u062f\u0631 API\u0647\u0627 \u062a\u0645\u0631\u06a9\u0632 \u06a9\u0646\u06cc\u0645\u061f<\/p>\n

\u0631\u0634\u062f \u06cc\u06a9\u067e\u0627\u0631\u0686\u0647 \u0633\u0627\u0632\u06cc API: API \u0647\u0627 \u0627\u063a\u0644\u0628 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062d\u0633\u0627\u0633 \u0631\u0627 \u0645\u062f\u06cc\u0631\u06cc\u062a \u0645\u06cc \u06a9\u0646\u0646\u062f \u0648 \u0622\u0646\u0647\u0627 \u0631\u0627 \u0628\u0647 \u0627\u0647\u062f\u0627\u0641 \u062c\u0630\u0627\u0628\u06cc \u062a\u0628\u062f\u06cc\u0644 \u0645\u06cc \u06a9\u0646\u0646\u062f.<\/p>\n

\u0634\u062f\u062a \u0628\u0627\u0644\u0627: \u062d\u0645\u0644\u0627\u062a SQLi \u0645\u06cc \u062a\u0648\u0627\u0646\u062f \u0645\u0646\u062c\u0631 \u0628\u0647 \u0646\u0642\u0636 \u062f\u0627\u062f\u0647 \u0647\u0627 \u0648 \u0636\u0631\u0631\u0647\u0627\u06cc \u0645\u0627\u0644\u06cc \u0634\u0648\u062f.<\/p>\n

\u0646\u06cc\u0627\u0632\u0647\u0627\u06cc \u0627\u0646\u0637\u0628\u0627\u0642: \u0627\u0633\u062a\u0627\u0646\u062f\u0627\u0631\u062f\u0647\u0627\u06cc\u06cc \u0645\u0627\u0646\u0646\u062f OWASP \u0648 PCI DSS \u062f\u0641\u0627\u0639 \u0642\u0648\u06cc SQLi \u0631\u0627 \u0627\u0644\u0632\u0627\u0645\u06cc \u0645\u06cc \u06a9\u0646\u0646\u062f.<\/p>\n

\u0627\u0641\u06a9\u0627\u0631 \u0646\u0647\u0627\u06cc\u06cc<\/p>\n

\u062c\u0644\u0648\u06af\u06cc\u0631\u06cc \u0627\u0632 \u062a\u0632\u0631\u06cc\u0642 SQL \u062f\u0631 API \u0647\u0627\u06cc RESTful \u0628\u0647 \u0627\u0642\u062f\u0627\u0645\u0627\u062a \u067e\u06cc\u0634\u06af\u06cc\u0631\u0627\u0646\u0647 \u0646\u06cc\u0627\u0632 \u062f\u0627\u0631\u062f\u060c \u0627\u0632 \u0645\u062f\u06cc\u0631\u06cc\u062a \u0635\u062d\u06cc\u062d \u0648\u0631\u0648\u062f\u06cc \u062a\u0627 \u0627\u0633\u062a\u0641\u0627\u062f\u0647 \u0627\u0632 \u0627\u0628\u0632\u0627\u0631\u0647\u0627\u06cc \u0627\u0645\u0646\u06cc\u062a\u06cc. \u0628\u0627 \u062a\u062c\u0632\u06cc\u0647 \u0648 \u062a\u062d\u0644\u06cc\u0644 API \u0647\u0627\u06cc \u062e\u0648\u062f \u0628\u0627 \u0645\u0627 \u0634\u0631\u0648\u0639 \u06a9\u0646\u06cc\u062f \u0627\u0628\u0632\u0627\u0631 \u0628\u0631\u0631\u0633\u06cc \u0627\u0645\u0646\u06cc\u062a \u0648\u0628 \u0633\u0627\u06cc\u062a \u0628\u0631\u0627\u06cc \u0627\u0631\u0632\u06cc\u0627\u0628\u06cc \u0622\u0633\u06cc\u0628\u200c\u067e\u0630\u06cc\u0631\u06cc \u0631\u0627\u06cc\u06af\u0627\u0646 <\/p>\n

\u0627\u0632 \u0628\u0631\u0646\u0627\u0645\u0647 \u0647\u0627\u06cc \u062e\u0648\u062f \u0645\u062d\u0627\u0641\u0638\u062a \u06a9\u0646\u06cc\u062f\u060c \u0627\u0632 \u062f\u0627\u062f\u0647 \u0647\u0627\u06cc \u062d\u0633\u0627\u0633 \u0645\u062d\u0627\u0641\u0638\u062a \u06a9\u0646\u06cc\u062f \u0648 \u0627\u0645\u0646\u06cc\u062a API \u0631\u0627 \u0627\u0645\u0631\u0648\u0632 \u0627\u0641\u0632\u0627\u06cc\u0634 \u062f\u0647\u06cc\u062f! <\/p>\n

\n
\n
\n

\u0641\u0647\u0631\u0633\u062a \u0645\u0637\u0627\u0644\u0628<\/p>\nToggle<\/span><\/path><\/svg><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n