Django原生数据库操作及防止SQL注入

已于 2022-10-01 19:17:20 修改
阅读量452 收藏 1
点赞数
分类专栏: # Django框架 文章标签: 数据库 sql django
于 2022-10-01 15:45:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vincent_Zhang233/article/details/127134298
版权

注:能用ORM肯定要用ORM,不推荐用原生,面试也不会考这些,了解一下就行。 

一、直接使用原生语句

方法1(错误方法) 

 方法2(正确方法)

总结:

如果用第一种方法自己拼接,得到的SQL语句为:select * from book where id = 3 or 1=1; 由于1=1永远是True,所以会输出所有的数据

如果用第二种方法,得到的SQL语句是:select * from book where id='3 or 1=1'; 即:id等于了一个字符串,由于Django有一个潜规则,就是它会找第一个int类型的值,所以id=3。不过注意:如果是‘33 or 1=1’,则id=33

二、原生数据库操作之cursor 

 

 

Vincent_Zhang233
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django数据库配置及操作
一名小测试
04-15 2344
数据库配置 打开xxx/setting.py文件,找到DATABASES处修改数据库配置,django默认是使用的sqlite,如果你不想使用sqlite,就得配置其他数据库
Django操作数据库实现注册&登录验证
05-11 5489
前几天就做完了这个登录&注册的后台(我觉得做后台比做前端省事多了),一直没空写……今天抽空给他写出来做下记录。 Model 定义 没啥说的,直接放代码 from django.db import models class UserInfo(models.Model): user_id = models.IntegerField(primary_key=True) ...
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块
【安全】(三)DjangoSQL注入
财迷的博客
03-01 5734
Django中如何SQL注: Django自带的ORM查询在进行数据访问时,会根据使用的数据库服务器(例如:MySql)的转换规则,自动转义特殊的SQL参数。注意有一个方法另外extra(),这个方法接受原始的SQL
Django项目中的安全最佳实践:防止SQL注入和XSS攻击
04-30 149
通过遵循这些安全最佳实践,你可以大大提高Django项目的安全性,防止SQL注入和XSS攻击。
Django中如何sql注入?
love_521_的博客
03-17 1227
1,使用orm操作数据库增删改查:因为orm采用的是参数化形式执行sql语句. 2,如果万一要执行原生sql语句,建议不要拼接url,而是使用参数化的形式.
Django原始SQL查询需要注意的问题
Lzs1998的博客
07-23 272
Django为您提供了两种执行原始SQL查询的方法:您可以使用它Manager.raw()来执行原始查询并返回模型实例,或者您可以完全避免模型层并直接执行自定义SQL。 1.执行原始查询 raw()管理方法可以用来执行返回模型实例原始的SQL查询: Manager.raw(raw_query,params = None,translations = None) 此方法接受原始SQL...
Django执行原生sql时, 解决注入占位符的%与LIKE模糊查询的%歧义导致sql解析失败问题
我爱吃稀饭的博客
03-03 676
Django执行原生sql时, 注入占位符%与LIKE模糊匹配查询%歧义导致sql解析失败
python django 原生sql 获取数据的例子
09-18
值得注意的是,虽然直接使用原生SQL可以提供更灵活的查询能力,但这样做可能会降低代码的可维护性,因为Django ORM提供了许多内置功能,如事务管理、自动转义和SQL注入护等。因此,除非有特殊需求,通常建议优先...
django执行原始查询sql,并返回Dict字典例子
09-17
Django框架中,有时我们需要执行自定义的SQL查询,以获取更高效或者特定格式的数据。在这种情况下,我们...请注意,虽然这种方式提高了灵活性,但也需要注意SQL注入等安全问题,确保所有输入的SQL语句都是安全的。
Diango原生SQL语句增删数据库原码.zip
01-29
Django原生SQL语句增删数据库原码解析》 在Python的Web开发领域,Django框架以其高效、安全和强大的功能深受开发者喜爱。本资料包“Diango原生SQL语句增删数据库原码.zip”聚焦于Django框架中如何使用原生SQL语句...
django的ORM模型的实现原理
12-25
ORM模型介绍 ...SQL注入。 ORM ,全称 Object Relational Mapping ,中文叫做对象关系映射,通过 ORM 我们可以通过类的方式去操作数据库,而不用再写原生SQL语句。通过把表映射成类,把行作实例,把
基于django傣族节日及民间故事推广微信小程序源码数据库文档.zip
04-17
该压缩包文件“基于django傣族节日及民间故事推广微信小程序源码数据库文档.zip”包含了一个使用Python的Django框架开发的微信小程序项目,旨在推广傣族的节日和民间故事。这个项目涉及到多个技术栈,包括Java的...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6484
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Django中的SQL注入攻击御策略
爱编程的鱼的博客
02-08 1818
Django中的SQL注入攻击御策略
Django防止SQL注入的方法
longe20111104的博客
09-11 1365
SQL注入是所有网站建设都应该注意范的东西,使用Django当然也不例外。下面介绍几个DjangoSQL注入的方案。   方案一 总是使用Django自带的数据库API。它会根据你所使用的数据库服务器(例如PostSQL或者MySQL)的转换规则,自动转义特殊的SQL参数。这被运用到了整个Django数据库API中,只有一些例外: 传给 extra...
如何防止SQL注入攻击
禅与计算机程序设计艺术
06-30 7011
作者:禅与计算机程序设计艺术 如何防止 SQL 注入攻击 SQL 注入攻击已经成为 Web 应用程序中最常见、最具破坏性的攻击之一。 SQL 注入攻击是指攻击者通过构造恶意的 SQL 语句,进而欺骗服务器执行恶意 SQL 操作,从而盗取、删除或者修改数据库中的数据。本文将介绍如何防止
数据库查询与操作指南-以Nebula图数据库为例
最新发布
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 303
数据库查询与操作指南-以Nebula图数据库为例
django中怎么使用原生sql
04-26
注意,虽然使用 RAW SQL 可以直接操作原生数据库查询语句,但是推荐使用 Django ORM 进行数据库操作,这样可以更好地利用 Django 的优点,例如自动生成表结构,模型字段校验,提高代码可维护性等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值