Django使用mysql数据库 + CSRF跨站点请求伪造

最新推荐文章于 2024-07-17 09:57:02 发布
最新推荐文章于 2024-07-17 09:57:02 发布
阅读量163 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Crazy_005/article/details/108531060
版权

Django使用mysql数据库

1. pip install pymysql

2. 在 __init__.py 添加

import pymysql
pymysql.install_as_MySQLdb()

mysite/
    manage.py
    mysite/
        __init__.py
        settings.py
        urls.py
        wsgi.py

3. 在 settings.py中,更改DATABASES

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.sqlite3',
        'NAME': os.path.join(BASE_DIR, 'db.sqlite3'),
    }
}

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql',
        'NAME': 'ucs',
        'HOST': '10.141.7.113',
        'USER': 'root',
        'PASSWORD': 'root',
        'PORT': '3306'
    }
}

以上就可以用了

再来扩展几个知识吧!

# 1. 表结构迁移mysql
python manage.py makemigrations
python manage.py migrate

# 2. 导入导出表的数据, system是一个app.
python manage.py dumpdata system >sys.json     # 导出system app 所有模型的数据
python manage.py loaddata sys.json     # 覆盖性操作

 

CSRF跨站点请求伪造

百度: CSRF攻击与防御

参考网址:https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,

你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。

 

CSRF攻击攻击原理及过程如下:

       1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

       2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

       3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

       4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

       5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。 

 

 

 

雨神_Forrest
关注
csrf安全问题总结
小喽喽
12-16 458
前言 刚开始从事web开发工作时,所有的web项目都使用的token机制做认证,安全性还可以,所以一直觉得就应该这样做,后来在网上看web安全问题时,才晓得还有很多产品不是这样做的,或因为历史原因,或因为没有必要 技术始终是用来服务社会发展的,我们推崇在合适的场景用适合的技术,本文就web认证这块简单说一下认证技术的合适场景 认证 认证简单理解就是一次会话的参数校验,特别的是专指于身份信息的校验,...
CSRF问题
qq_31923745的博客
08-29 192
防御CSRF攻击的策略 目前防御 CSRF 攻击有以下四种策略(不全) 验证 HTTP Referer 字段 在请求地址中添加 token 并验证 在 HTTP 头中自定义属性并验证 验证码 (1)验证 HTTP Referer 字段 HTTP头中存在Refer 字段标记了请求的源地址,通过校验该字段可以检验是否为钓鱼网站的请求 优点:简单易行 缺陷:安全性不高,可能影响用户正常使用(Refer值由浏览器提供,实际上目前已经有一些方法可以篡改特定浏览器的Refer值,比如IE6和FF2;另外有些用户出于
Django SQL注入 (CVE-2022-28346)
最新发布
qq_23003811的博客
07-17 270
在 2.2.28 之前的 Django 2.2、3.2.13 之前的 3.2 和 4.0.4 之前的 4.0 中发现了一个问题。QuerySet.annotate()、aggregate() 和 extra() 方法会通过精心制作的字典(带有字典扩展)作为传递的 **kwargs 在列别名中进行 SQL 注入。该框架包括面向对象的映射器、视图系统、模板系统等。4、对接口进行SQL注入测试(单引号,双引号等),发现双引号报错,页面直接返回了flag。1、访问任意不存在的目录路径报错,提示存在demo接口。
CSRF漏洞
wl7979的博客
12-21 216
CSRF简介 CSRF(英语:Cross-site request forgery)请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行某个动作。 分类:GET型和POST型 CSRF攻击攻击原理及过程如下: 1.用户C打开浏览器,访问受信任网站A,输入用户名
Django之连接mysqlcsrf、分页
weixin_43890653的博客
10-08 140
1 、csrf 什么是CSRF ? 请求伪造,就是钓鱼网站 Django的settings.py上有个MIDDLEWARE列表,其中’django.middleware.csrf.CsrfViewMiddleware’,就是用来防止请求伪造的中间件。 这个中间件做的事情: 在render返回页面的时候,在页面中塞了一个隐藏的input标签 用法:我们在页面上 form表单 里面 写上 ...
mysql协议包伪造_伪造mysql服务端实现任意读取
weixin_35749786的博客
01-19 101
偶然看到大佬的一篇文章,讲利用mysql的LOAD DATA INFILE的功能读取客户端文件,觉得这个思路十分有趣,于是跟着大佬的思路复现了一遍。0x01LOAD DATA INFILELOAD DATA INFILE是我十分陌生的一种用法,作用是可以把文件读入到数据库的某个表里,如果在远程连接状态下使用了LOCAL关键字,即LOAD DATE LOCAL INFILE,那么就会从客户端读取一...
Python课程设计基于Django实现的的药品管理系统源代码+数据库+演示视频
02-03
Django的亮点还包括其内置的身份验证和授权系统,以及对CSRF请求伪造)和XSS(站脚本)等安全问题的防护。 **2. Model-View-Template架构** 在Django中,Model代表数据模型,负责定义数据库表结构;View是...
基于Django+MySQL的员工薪资管理系统源码.zip
06-15
此外,DjangoCSRF请求伪造)保护和SQL注入防护机制进一步增强了系统的安全性。 在部署和运行方面,Django应用通常使用WSGI服务器,如Gunicorn或uWSGI,结合反向代理服务器Nginx来提供高并发性能和稳定性。...
毕业设计简单酒店信息管理系统,使用Django框架、MySql数据库。.zip
04-05
- 安全性:内置了防止请求伪造CSRF)和站脚本(XSS)攻击的机制,确保应用安全。 2. MySql数据库MySql是一款流行的关系型数据库管理系统,具有高性能、高可靠性和易用性等特点。在本项目中,MySql用于...
Python_django_web学生管理系统(使用mysql数据库
01-28
2. 使用CSRF保护,防止请求伪造。 3. 使用缓存机制,提高网站性能,减轻数据库压力。 以上是构建基于Python DjangoMySQL的学生管理系统的概述。实际开发过程中,还需考虑用户体验、权限控制、数据备份与恢复...
基于python+Django的web漏洞挖掘技术源码数据库.zip
10-06
7. **安全与漏洞**:在Django项目中,可能涉及的漏洞包括SQL注入、站脚本(XSS)、请求伪造CSRF)等。Django框架内置了一些安全特性,如CSRF保护、SQL防护,但开发者仍需了解这些风险并进行适当的代码审计。...
CSRF与http 403 (403 禁止访问:访问被拒绝 )
热门推荐
认知 行动 坚持
12-11 1万+
最近遇到一个问题, 服务器遭受了CSRF攻击,  我们在之前的博文中也介绍了CSRF攻击和防御, 故不再赘述。        修改方法是, 服务器增加CSRF配置, 对token进行校验, 这样就能阻挡坏人的访问了!  阻挡后, 当坏人访问时, 返回403,  无情地拒绝坏人的方法, 气死他
MySQL防御机制_django下的csrf防御机制
weixin_32569115的博客
02-08 109
CSRF1、什么是CSRFCSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。2、原理从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤 :1.登录受信任网站A,并在本地生成Cookie 。2.在不退出A的情况下,访问危险网站B。ps:注意并...
php csrfMySQL_CSRF POST型
weixin_42357981的博客
02-01 89
实验步骤登录密码用户名为 root 密码 toor打开apache2首先,双击,kali左侧快捷栏,从上往下数第二个图标,从而打开终端,之后,输入 service apache2 restart 并回车,如出现下图所示情况,即apache启动成功。打开mysql继续输入service mysql start并回车,如出现下图所示情况,即mysql启动成功注册账户双击kali左侧快捷栏从上往下数第一...
解决:禁止访问 (403) CSRF验证失败
lyw5200的博客
10-27 5506
在测试Django框架POST请求方式时,程序报错如下 在确保访问安全的情况下有一下两种方式: 1、在相应html文件form代码块中添加如下代码: <form method="post" action="/method_show/"> {% csrf_token %} <!-- 改行代码为添加部分 --> <input type="submit" value="post方式"> </form> 但是仅仅添加这句代码,...
2021-10-14 将Django数据库由 sqlite 换成mysql
weixin_44048169的博客
10-17 244
mysql的更换 在settings.py中 修改database 安装Djangomysql支持库 使用pymysql最好 截图 装库如果很慢,可以用豆瓣的源 pip install pymysql -i https://pypi.douban.com/simple 需要对pymysql进行伪装成 MysqlDB 在init.py文件中, import pymysql pymysql.install_as_MySqlDB() 新建一个APP名字three 记得要在settings.py中
CSRF
angry_program的博客
02-05 565
前言 CSRF,站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性, 两者区别于CSRF请求, XSS是站攻击。但事实上CSRF与XSS差别很大,XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。 CSRF通过伪装来自受信任用户的请求来利用受信任的网站。通俗的说就是攻击者利用了你的身...
CSRF攻击!
m_ing
06-20 250
前言:前几天我们一起学习了XSS攻击,今天学习的CSRF与XSS有点相似,但事实上完全不是一回事到后期可能有一些结合的点。希望大家认证学习, 加以区分 CSRF 中文是站点请求伪造,CSRF攻击者在用户已经登录目标网站之后,诱导用户访问一个攻击页面利用目标网站对用户的信任。以你的身份在攻击页面对目标网站发起伪造用户操作的请求,比如以你的名义发送邮件、发消息、盗取你的账号等等 CSRF与XSS最大的区别就在于,CSRF并没有盗取你的cookie而是直接利用 攻击场景: web a 为存在漏洞的网站,we
CSRF详解
weixin_33738982的博客
03-26 166
CSRFxss***:网站评论里等允许别人写js的时候,别人进行的恶意操作。csrf类似。CSRF的防护通常有两种方式:一个是通过Challenge-Response的方式,例如通过Captcha和重新输入密码等方式来验证请求是否伪造,但这会影响用户体验,类似银行付款会采用这样的方式。另一种是通过随机Token的方式,多数Web系统都会采用这种方式,Django也是用的这种。...
django+MySQL+opencv的格式写出全部
05-20
下面是一个使用 Django 框架、MySQL 数据库和 OpenCV 库的 Web 应用程序的基本架构: 1. 环境配置 在操作系统上安装 MySQL 数据库和 OpenCV 库,并在 Python 中安装 Django 框架和 MySQL 驱动程序。 2. 创建 Django 项目 使用 Django 的命令行工具创建一个新项目: ``` django-admin startproject myproject ``` 其中,`myproject` 是项目的名称。 3. 创建 Django 应用程序 在项目中创建一个新应用程序: ``` cd myproject python manage.py startapp myapp ``` 其中,`myapp` 是应用程序的名称。 4. 配置数据库 在项目的 `settings.py` 文件中配置 MySQL 数据库: ``` DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'NAME': 'mydatabase', 'USER': 'mydatabaseuser', 'PASSWORD': 'mypassword', 'HOST': '127.0.0.1', 'PORT': '3306', } } ``` 其中,`mydatabase` 是数据库名称,`mydatabaseuser` 是数据库用户名,`mypassword` 是数据库密码,`127.0.0.1` 是数据库服务器地址,`3306` 是数据库服务器端口号。 5. 定义模型 在应用程序的 `models.py` 文件中定义数据模型: ``` from django.db import models class Image(models.Model): title = models.CharField(max_length=200) image = models.ImageField(upload_to='images/') created_at = models.DateTimeField(auto_now_add=True) ``` 其中,`Image` 是模型名称,`title` 是标题字段,`image` 是图片字段,`created_at` 是创建时间字段。 6. 创建数据库使用 Django 的命令行工具创建数据库表: ``` python manage.py makemigrations myapp python manage.py migrate ``` 7. 编写视图 在应用程序的 `views.py` 文件中编写视图函数: ``` from django.shortcuts import render from django.http import HttpResponse from .models import Image import cv2 def index(request): images = Image.objects.all() context = {'images': images} return render(request, 'index.html', context) def upload(request): if request.method == 'POST': title = request.POST['title'] image = request.FILES['image'] img = cv2.imdecode(np.fromstring(image.read(), np.uint8), cv2.IMREAD_COLOR) Image.objects.create(title=title, image=image) return HttpResponse('上传成功!') else: return HttpResponse('上传失败!') ``` 其中,`index` 函数用于显示所有图片,`upload` 函数用于上传新图片。 8. 编写模板 在应用程序的 `templates` 目录下创建 HTML 模板文件: ``` <!DOCTYPE html> <html> <head> <title>图片列表</title> </head> <body> <h1>图片列表</h1> <ul> {% for image in images %} <li> <img src="{{ image.image.url }}" height="200"> <br> {{ image.title }} <br> {{ image.created_at }} </li> {% endfor %} </ul> <h1>上传图片</h1> <form method="post" enctype="multipart/form-data"> {% csrf_token %} 标题:<input type="text" name="title"><br> 图片:<input type="file" name="image"><br> <input type="submit" value="上传"> </form> </body> </html> ``` 其中,`{% for image in images %}` 用于循环显示所有图片,`{{ image.image.url }}` 用于显示图片的 URL,`{% csrf_token %}` 用于防止站点请求伪造攻击。 9. 运行 Web 服务器 使用 Django 的命令行工具启动 Web 服务器: ``` python manage.py runserver ``` 10. 访问网站 在浏览器中访问 `http://127.0.0.1:8000/`,即可查看图片列表和上传新图片。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值