pymysql 解决 sql 注入问题

最新推荐文章于 2024-09-05 20:07:39 发布
最新推荐文章于 2024-09-05 20:07:39 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 技术分享 文章标签: mysql python pymysql SQL注入 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DILIGENT203/article/details/83859580
版权

1. SQL 注入

SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。
例如,下面这段代码通过获取用户信息来校验用户权限:

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = ' + str(input['id']) + ' AND password = "' + input['password'] + '"'
cursor = dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
    print('登陆成功')

但是,如果传入参数是:

input['id'] = '2 or 1=1'

你会发现,用户能够直接登录到系统中,因为原本 sql 语句的判断条件被 or 短路成为了永远正确的语句。
这里仅仅是举一个例子,事实上,sql 注入的方式还有很多种,这里不深入介绍了。
总之,只要是通过用户输入数据来拼接 sql 语句,就必须在第一时间考虑如何避免 SQL 注入问题。
那么,如何防止 SQL 注入呢?

2. 预防 SQL 注入 – pymysql 参数化语句

pymysql 的 execute 支持参数化 sql,通过占位符 %s 配合参数就可以实现 sql 注入问题的避免。

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = %s AND password = %s'
valus = [input['id'], input['password']]
cursor = dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql, values)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
    print('登陆成功')

这样参数化的方式,让 mysql 通过预处理的方式避免了 sql 注入的存在。
需要注意的是,不要因为参数是其他类型而换掉 %s,pymysql 的占位符并不是 python 的通用占位符。
同时,也不要因为参数是 string 就在 %s 两边加引号,mysql 会自动去处理。

3. 预防 SQL 注入 – mysql 存储过程

数据库存储过程是 mysql 的一种高级用法,但是一般来说,并不建议使用数据库的存储过程。
主要原因是:

  1.  存储过程的语法与普通 SQL 语句语法相差太大,增加维护成本
  2.  存储过程在各数据库间不通用且差别较大,给数据库的移植和扩展带来困难
  3.  编写困难,数据库脚本语言使用起来还是很不方便的,包括很多数据结构的缺失,让很多事情做起来很困难
  4.  调试困难,虽然有一些功能强大的 IDE 提供了数据库存储过程的调试功能,但是通常你需要同时在数据库层面上和业务中同时进行调试,两处调试极为不便
  5.  业务耦合,编写存储过程通常是需要在其中放入部分业务逻辑,这使得业务分散在数据层,业务层与数据层的耦合对于项目维护和扩展都会带来极大地不便

但是,虽然不建议使用存储过程,但是毕竟可以依赖他实现各种跨语言的 sql 注入预防,在复杂的场景下还是有其使用价值的,这里仅做一些介绍。

3.1. 存储过程编写

delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql (
    in nid1 INT,
    in nid2 INT,
    in callsql VARCHAR(255)
)
BEGIN
    set @nid1 = nid1;
    set @nid2 = nid2;
    set @callsql = callsql;
    PREPARE myprod FROM @callsql;
    --   PREPARE prod FROM 'select * from tb2 where nid>? and nid<?';  传入的值为字符串,?为占位符
    --   用@p1,和@p2填充占位符
    EXECUTE myprod USING @nid1,@nid2;
    DEALLOCATE prepare myprod;

END\delimiter ;

3.2. pymsql 中调用

import pymysql

cursor = conn.cursor()
mysql="SELECT * FROM user where nid > ? and nid < ?"
cursor.callproc('proc_sql', args=(11, 15, mysql))
rows = cursor.fetchall()
conn.commit()

4. 参考资料

https://stackoverflow.com/questions/5785154/python-mysqldb-issues-typeerror-d-format-a-number-is-required-not-str。
http://www.bubuko.com/infodetail-2050847.html。

DILIGENT203
关注
专栏目录
pymysql的使用,sql注入问题
Yydsaoligei的博客
08-18 827
pymysql的使用,sql注入问题, MySQL
mysql存储过程 sql注入_pymysql如何解决sql注入问题深入讲解
weixin_39629780的博客
02-08 775
1. SQL 注入SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。即:因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。产生原因:SQL语句使用了动态拼接的方式。例如,下面这段代码通过获取用户信息来校验用户权限:import pymysqlsql = 'SELECT count(*) as count FROM us...
pymysql如何解决sql注入问题深入讲解
09-09
主要给大家介绍了关于pymysql如何解决sql注入问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考价值,需要的朋友们下面随着小编来一起学习学习吧
pythonpymysqlsql注入
软件测试老痞
12-09 201
import pymysql conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',passwd='ljj83538301',db='test',charset='utf8') # cursor = conn.cursor()#拿到的是元组 cursor = conn.cursor(cursor=pymysql.cursor...
[Python] PyMySQL演示SQL注入攻击 及 操作事务
最新发布
2201_75415080的博客
09-05 847
PyMySQL-SQL注入攻击问题PyMysql-操作事务。
pymysql模块和SQL注入
qq_44801344的博客
09-13 726
pymysql的使用,以及SQL注入
mysql注入 博客园_PyMySQL防止SQL注入
weixin_42519489的博客
02-05 232
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字符串拼接查询,造成注入import pymysqlconn =...
python 零基础学习篇 MySQL数据库4 pymysql防止sql注入的多个参数使用 .mp4
04-21
python 零基础学习篇
python 预编译sql_python pymysql 防止SQL注入 预编译
weixin_34079307的博客
03-01 1085
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】这里我给出部分我代码的样例,大家可以参考一下。def ShieldIp_query(self, request_data):try:if self.Pd_data_value(request_data, "size"):size = request_data["size"]else:size = 20if self.P...
pymysql模块学习之sql注入
爱喝水的qdy的博客
12-17 153
目录sql注入示例代码 sql注入 利用sql的行内注释 -- 实现的 行内注释语法: -- 后至少有一个任意字符 注意: --符号后面有一个空格,再跟至少一个字符 解释: 行内注释符号 -- 会注释掉它之后的sql。 根本原理: 根据程序的字符串拼接name='%s',我们输入一个xxx' -- haha, 用我们输入的xxx加'在程序中拼接成一个判断条...
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
pymysql 过滤防sql注入
hllyzms的博客
09-10 732
传参防注入 import pymysql user = input("username:") pwd = input("password:") conn = pymysql.connect(host="localhost",user='root',password='',database="db1") cursor = conn.cursor() sql = "select *...
SQL语句,pymysql模块,sql注入问题
08-23 526
一、完整版SQL语句的查询 select distinct post,avg(salary) from table where id > 1 group by post` having avg(salary)>100 order by avg(salary) limit 5,5 ​ group by:分组之后,分...
MySQL基础(五):pymysql模块使用、sql注入
一点一滴铺就人生
06-17 524
下面是小凰凰的简介,看下吧! ????人生态度:珍惜时间,渴望学习,热爱音乐,把握命运,享受生活 ????学习技能:网络 -> 云计算运维 -> python全栈( 当前正在学习中) ????您的点赞、收藏、关注是对博主创作的最大鼓励,在此谢过! 有相关技能问题可以写在下方评论区,我们一起学习,一起进步。 后期会不断更新python全栈学习笔记,秉着质量博文为原则,写好每一篇博文。 文章目录一、pymysql模块基本操作1、安装pymysql2、代码链接mysql3、pymysql操作数据库4
如何解决SQL注入问题
Aixiaohuangren的博客
07-16 2712
一.什么是SQL注入问题? 在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作: 要执行SQL语句,首先需要获得java.sql.Statement实例 执行静态SQL语句。通常通过Statement实例实现。 Statement stmt = conn.createStatement() ; 但是这样会出现一个很大的纰漏,这个纰漏会导致一系列的安全问题,这就被称为SQL注入问题。 二.SQL注入实例 例如我后台的sql语句为 select * from s_st
如何解决sql注入问题
qq_33824312的博客
07-28 1161
Java防止SQL注入SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处
pymysql模块学习之sql注入解决方案
爱喝水的qdy的博客
12-17 168
目录解决方案示例代码 解决方案 有些网站在让其输入账号的时候,会自动检测,不能输入特殊字符 在程序中更改字符串拼接的方式 改写为(execute 帮我们做字符串拼接,我们无需且一定不能再为%s加引号了) sql = 'select id, username, password from userinfo where username=%(uname)s and password=%(pw...
python使用mysql,防止SQL注入
帅的飞起的博客
04-24 859
python使用mysql防止SQL注入
Python操作MySQLpymysql模块详解及SQL注入防范
"pymysql模块的使用方法及SQL注入防范" 在Python中操作MySQL数据库时,pymysql模块是一个常用的选择。它作为一个Python接口,允许开发者通过Python代码与MySQL服务器进行交互。首先,你需要通过`pip3 install ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值