python flask框架,在请求前加入参数过滤,防止sql注入

最新推荐文章于 2024-05-21 11:18:00 发布
最新推荐文章于 2024-05-21 11:18:00 发布
阅读量3.6k 收藏 11
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SecondRound93/article/details/106564749
版权

对web服务发起请求时,传入的参数中可能含有对数据库不利的操作,即sql注入
在flask框架中为了防止sql注入,在请求之前可以加一层参数过滤

post请求示例
在app.py中添加以下代码:

@app.before_request
def before_request():
    #假设是post请求,data为传入的请求参数
    data =request.json
    for v in data.values():
        v= str(v).lower()
        pattern = r"\b(and|like|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|delclare|or)\b|(\*|;)"
        r = re.search(pattern,v)
        if r:
            return '请输入规范的参数!'

测试 当输入正常参数时,请求结果:
在这里插入图片描述
当输入含敏感字符的参数时,请求结果:
在这里插入图片描述

get请求示例
在app.py中添加以下代码:

@app.before_request
def before_request():
    #假设是get请求,data为传入的请求参数
    data =request.args
    for v in data.values():
        v= str(v).lower()
        pattern = r"\b(and|like|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|delclare|or)\b|(\*|;)"
        r = re.search(pattern,v)
        if r:
            return '请输入规范的参数!'

测试 当输入正常参数时,请求结果:
在这里插入图片描述
当输入含敏感字符的参数时,请求结果:
在这里插入图片描述

cxg0508
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
flask mysql sql注入_防止sql注入
weixin_36451983的博客
02-06 1744
@server.route('/login',methods=['post'])def login():username=flask.request.values.get('u')password=flask.request.values.get('p')sql="select * from USER where username='%s' and password='%s';"%(usernam...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
[学习笔记](Python3)防止SQL注入、XSS攻击和文件上传漏洞
最新发布
可信计算的博客
05-21 508
通过参数化查询防止SQL注入,使用输出编码、CSP、输入验证等技术防止XSS攻击,并在Python3后端通过文件类型验证、文件名处理、限制文件大小等措施防止文件上传漏洞,可以有效提高Web应用的安全性。
如何防止sql注入
weixin_49278803的博客
02-25 525
现象 实现一个根据指定条件检索数据库数据表功能,我们想到的是select语句,其中%s占位符接收参数,但是这样的一条语句直接被执行很容易造成sql注入。why?执行的语句没有对“条件”进行校验! 验证是否有可能被sql注入:在传递的参数的后面加上 解决 方案:以sql自有校验功能进行参数的检查 语法:以传参的形式执行,如下图: 那么下面关注即sql语句该怎么写?,参数类型是什么? 根据执行sql的方法的不同(sql有哪些执行方式:见https://blog.csdn.net/weixin_49278803/
Python_Flask 自定义过滤
erfan_lang的博客
08-23 347
目录第一种 通过调用应用程序实例的 add_template_filter 第一种 通过调用应用程序实例的 add_template_filter from flask import Flask, render_template import settings app = Flask(__name__) app.config.from_object(settings) @app.route('/') def hello_world(): # put application's code here
Python Flask Web开发:深入SQLAlchemy实践与安全防护策略
weixin_45002431的博客
04-16 822
Python Flask作为一款轻量级且灵活的Web框架,常与SQLAlchemy ORM结合使用,以构建高效、结构化的数据库交互层。本文将详述SQLAlchemy的使用方法、注意事项,并探讨如何通过最佳实践来防范SQL注入攻击。同时,我们将阐述Jinja2模板引擎的常规与高级用法及其安全注意事项,为Python Flask Web开发提供全面的指导。
Flask 过滤器 上下文
z754916067的博客
03-10 185
文章目录过滤器自定义过滤器需求:添加列表反转的过滤请求上下文requestsession应用上下文current_appg变量请求上下文和应用上下文的区别 过滤过滤器的本质就是函数。有时候我们不仅仅只是需要输出变量的值,我们还需要修改变量的显示,甚至格式化、运算等等,而在模板中是不能直接调用 Python 中的某些方法,那么这就用到了过滤器。 使用方式: 过滤器的使用方式为:变量名 | 过滤器。 {{variable | filter_name(*args)}} 如果没有任何参数传给过滤器,则
Flask-SQLAlchemy的使用
weixin_41783242的博客
03-21 1158
SQLAlchemy 是目python中最强大的 ORM框架, 功能全面, 使用简单。
毕业设计:基于PythonFlask框架在线电影网站系统.zip
10-16
7. 安全性:包括防止SQL注入、XSS攻击等,Flask-WTF可以帮助防范表单注入,而CSRF保护则可通过Flask-WTF的CSRF保护实现。 8. 部署:最后,项目需要部署到服务器上,可以选择Apache、Nginx等Web服务器配合Gunicorn或...
基于vue.js+python flask+mysql实现的网页文件系统
05-05
Flask可以集成如Flask-Login进行用户认证,使用参数化查询或ORM避免SQL注入,而端Vue.js也需要对用户输入进行校验和过滤,以确保应用的安全性。 **性能优化**:为了提高系统性能,可以考虑使用缓存策略,如在内存...
python+Django实现防止SQL注入的办法
09-18
主要介绍了python+Django实现防止SQL注入的办法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python Flask构建微信小程序订餐系统 管理员登录和列表界面
12-16
使用预编译的SQL语句和参数化查询可以防止SQL注入,而对用户输入进行过滤和转义可以防止XSS攻击。同时,密码通常需要进行加密存储,如使用bcrypt或argon2算法。 8. **API设计**: 设计清晰的RESTful API接口能让...
基于Python+Flask开发的Web应用防火墙.zip
09-28
在本项目中,我们关注的是使用PythonFlask框架构建一个Web应用防火墙(Web Application Firewall,简称WAF)。Web应用防火墙是一种专门用于保护Web应用程序的安全设备或软件,它可以检测并阻止潜在的恶意流量,...
Flask框架中常规漏洞防范方法
bluemoon_0的博客
01-10 665
Flask框架中常规漏洞防范方法
Flask】SQLAlchemy
al6nlee的博客
07-02 5844
本专栏介绍了SQLAlchemy库在flask上的orm操作
pythonsql注入_Python防止sql注入的方法详解
weixin_39834678的博客
11-30 420
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python防止sql注入的方法,需要的朋友可以参考下。言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Pyt...
【SSTI】flask 模板注入最详解
weixin_53146913的博客
05-10 2041
一、flask是用python编写的一个轻量web开发框架。 二、flask使用jinjia2渲染引擎进行网页渲染,当处理不得当,未进行语句过滤,用户输入{{控制语句}},会导致渲染出恶意代码,形成注入。 三、flask基础知识: 1. __class__: 返回当类(有字符串类,元组类,字典组等等) 所有的子类都有一个共同的父类object,如果没指定继承,默认父类是object 2. __mor__: 返回解析函数时,类的调用顺序,先调用str类,再调用object类,通过索引的方式__
python flask 防止sql 注入
03-22
可以使用 Flask-SQLAlchemy 来防止 SQL 注入攻击。Flask-SQLAlchemy 是一个 Flask 扩展,它提供了一个 SQLAlchemy 对象,可以轻松地与 Flask 应用程序集成。使用 Flask-SQLAlchemy,你可以使用 ORM(对象关系映射)...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值