python如何防止SQL注入攻击?

于 2024-08-14 00:08:09 发布
阅读量137 收藏 3
点赞数 3
分类专栏: Python DB Java 文章标签: python sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abckingaa/article/details/141176988
版权
Java 同时被 3 个专栏收录
170 篇文章 3 订阅
订阅专栏
DB
127 篇文章 1 订阅
订阅专栏
Python
6 篇文章 0 订阅
订阅专栏

python如何防止SQL注入攻击?

在您提供的 ORM 示例中,我们已经有了防止 SQL 注入的基本保障,因为我们使用了参数化查询。但是,为了进一步增强代码的清晰性和安全性,我们可以确保在分页查询和插入等操作中都使用参数化查询,同时加入类型验证以防止意外输入。

以下是修改后的 ORM 代码,加入了更全面的安全措施和分页功能:

import sqlite3
from abc import ABC, abstractmethod


class Database:
    """数据库连接管理类"""
    
    def __init__(self, db_name):
        self.connection = sqlite3.connect(db_name)
        self.cursor = self.connection.cursor()

    def commit(self):
        self.connection.commit()

    def close(self):
        self.connection.close()


class BaseModel(ABC):
    """模型基类"""
    
    @classmethod
    @abstractmethod
    def table_name(cls):
        pass

    @classmethod
    def create_table(cls, db: Database):
        """创建表"""
        raise NotImplementedError("Subclasses must implement this method.")
    
    @classmethod
    def all(cls, db: Database):
        """获取所有记录"""
        db.cursor.execute(f"SELECT * FROM {cls.table_name()}")
        return db.cursor.fetchall()

    @classmethod
    def insert(cls, db: Database, **kwargs):
        """插入记录"""
        columns = ', '.join(kwargs.keys())
        placeholders = ', '.join(['?'] * len(kwargs))
        sql = f"INSERT INTO {cls.table_name()} ({columns}) VALUES ({placeholders})"
        db.cursor.execute(sql, tuple(kwargs.values()))
        db.commit()

    @classmethod
    def delete(cls, db: Database, record_id):
        """删除记录"""
        db.cursor.execute(f"DELETE FROM {cls.table_name()} WHERE id = ?", (record_id,))
        db.commit()

    @classmethod
    def paginate(cls, db: Database, page: int, per_page: int):
        """分页查询"""
        if not isinstance(page, int) or not isinstance(per_page, int) or page < 1 or per_page < 1:
            raise ValueError("页码和每页记录数必须是正整数")

        offset = (page - 1) * per_page
        db.cursor.execute(f"SELECT * FROM {cls.table_name()} LIMIT ? OFFSET ?", (per_page, offset))
        return db.cursor.fetchall()


class User(BaseModel):
    """用户模型"""
    
    @classmethod
    def table_name(cls):
        return "users"

    @classmethod
    def create_table(cls, db: Database):
        db.cursor.execute("""
            CREATE TABLE IF NOT EXISTS users (
                id INTEGER PRIMARY KEY AUTOINCREMENT,
                name TEXT NOT NULL,
                age INTEGER NOT NULL CHECK(age >= 0)  -- 确保年龄是非负整数
            )
        """)
        db.commit()


# 使用示例

if __name__ == "__main__":
    db = Database("example.db")

    # 创建表
    User.create_table(db)
    
    # 插入数据
    User.insert(db, name="Alice", age=30)
    User.insert(db, name="Bob", age=25)
    User.insert(db, name="Charlie", age=35)
    User.insert(db, name="David", age=40)
    User.insert(db, name="Eve", age=28)

    # 分页查询
    page_number = 1  # 当前页码
    records_per_page = 2  # 每页记录数

    users_page_1 = User.paginate(db, page=page_number, per_page=records_per_page)
    print(f"第 {page_number} 页用户列表:", users_page_1)

    page_number = 2  # 查询下一页
    users_page_2 = User.paginate(db, page=page_number, per_page=records_per_page)
    print(f"第 {page_number} 页用户列表:", users_page_2)

    # 清理
    db.close()

代码增强解释

  1. 输入验证

    • paginate 方法中增加了输入验证,确保 pageper_page 是正整数。

  2. 年龄约束

    • create_table 方法中,给年龄列加了 CHECK 约束,确保只能插入非负整数。

  3. SQL 注入预防

    • 所有 SQL 执行使用参数化查询,确保安全性,这也是防止 SQL 注入的骨干。

通过这些增强,代码变得更加健壮且安全,有效地防止了 SQL 注入、确保了输入的有效性,以及增加了错误处理的可能性。

abckingaa
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
使用Python防止SQL注入攻击
热门推荐
吴秋霖的博客
05-19 2万+
让我们一起掌握Python防止SQL注入的技巧跟方法来抵抗恶意攻击吧!
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击
weixin_30260621的博客
01-28 314
Python驱动程序不使用实际的查询参数。在python中,参数(示例中的变量attack)在将SQL发送到数据库服务器之前被插入到SQL字符串中。在这与使用查询参数不同。在真正的参数化查询中,SQL字符串被发送到数据库服务器,参数占位符保持不变。在但是Python驱动程序确实在插值时正确地避开了参数,这可以防止SQL注入。在我可以在打开查询日志时证明:mysql> SET GLOBAL g...
Python防止SQL注入攻击的方法
qalangtao的博客-qalangtao.com
01-24 715
在Web开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过在输入框中输入恶意的SQL语句来获取敏感数据或者破坏数据库Python作为一种流行的编程语言,在处理用户输入时需要特别注意防止SQL注入攻击。本文将介绍Python防止SQL注入攻击的方法,并给出相应的代码示例。在使用ORM框架时,开发者无需直接编写SQL语句,框架会自动处理参数化查询,从而避免SQL注入攻击。这样可以防止用户输入的内容被解释为SQL语句的一部分。函数对输入进行过滤,去除首尾的空白字符。在上面的代码中,我们使用了。
python 防止sql注入
weixin_45945976的博客
01-30 821
使用参数化查询可以将用户输入的数据与SQL语句进行分离,从而避免将用户输入内容作为SQL查询的一部分,从而防止SQL注入攻击。请注意,以上是三种常用的防止SQL注入的方法,但并不能保证绝对安全。在处理用户输入时,始终应该保持警惕,遵循最佳安全实践,进行输入验证和过滤。使用ORM框架可以直接操作数据库表对应的对象,ORM框架会自动执行参数化查询。3、使用数据库自带的转义函数:一些数据库提供了转义函数来处理特殊字符,将它们转换为安全字符。使用这些函数可以在执行SQL查询之前对用户输入进行转义。
python sql注入如何防止_如何防止sql注入Python中?
weixin_39777018的博客
12-03 222
在web漏洞当中,我想大家对于sql都不陌生,毕竟它可是web漏洞之首。sql注入是比较常见的网络攻击,它可以利用程序员编程出现疏忽时实现无账号登录甚至篡改数据库。在Python Web开发的过程都会使用到关系型的数据库sql注入是就是通过这个而出现的。那么,我们需要怎么做来解决这个问题呢?又该采取什么样的方案来防止sql注入Python中呢?接下来小编就来分析讲解一下。sql注入产生的起因字...
Python中如何防止sql注入
定期分享编程干货~
04-05 2372
 sql注入中最多见的就是字符串拼接,研发人员对字符串拼接应该引发重视,不该忽略。python   错误用法1:mysql     sql = "select id, name from test where id=%d and name='%s'" %(id, name)sql     cursor.execute(sql)微信   错误用法2:函数     sql = "select id, name from test where id="+ str(id) +" and name='"+.
防止sql注入python_Python如何防止sql注入
weixin_39689394的博客
12-23 177
web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP防注入的各种方法都有,Python的方法其实类似,这里我就举例来说说。起因漏洞产生的原因最常见的就是字符串拼接了,当然,...
防止SQL注入攻击的综合解决方案
记录并分享一些日常工作和学习笔记
10-09 375
本文将介绍SQL注入攻击的危害以及常见的防御措施,并结合实际模拟场景,提供详细的代码和命令示例,以帮助开发者全面了解和应对SQL注入攻击。综上所述,通过使用参数化查询、输入验证和过滤、最小权限原则、输入转义、使用ORM框架等多种防御措施,可以有效防止SQL注入攻击。开发者应该在开发过程中充分了解和应用这些防御措施,以确保Web应用程序的安全性。更重要的是,开发者应该充分了解和理解SQL注入攻击的原理和方法,并不断关注和学习新的安全技术和最佳实践,以保持应用程序的安全性。
Python防止sql注入的方法详解
09-21
### Python防止SQL注入的方法详解 #### 前言 SQL注入是一种常见的网络安全攻击手段,攻击者通过在输入数据中嵌入恶意SQL代码,利用应用程序的漏洞执行...遵循这些原则,可以大大降低应用程序遭受SQL注入攻击的风险。
Python程序设计:sql注入攻击.pptx
06-12
sql注入攻击;任务 sql注入攻击;任务 sql注入攻击;知识点:SQL注入攻击;Sql注入原理;Sql注入原理;Python SQL注入代码复现;Python SQL注入代码复现;Python SQL注入代码复现;Python SQL注入代码复现;Python SQL注入代码...
基于PythonSQL注入攻击分析与实施.pdf
09-19
基于PythonSQL注入攻击分析与实施.pdf
大模型微调工具-torchtune
weixin_40777649的博客
08-08 1015
1.定义2.安装3. 案例。
NVIDIA-CUDA
qq_41081716的博客
08-08 447
CUDA 是一种强大的并行计算平台,它极大地扩展了 GPU 的用途,使其不仅仅局限于图形处理。通过利用 CUDA,开发人员可以编写高效、高性能的并行应用程序,这些应用程序可以用于各种计算密集型任务。如果您正在从事高性能计算或需要加速计算任务的工作,CUDA 是一个非常有用的工具。
Falsk测试与部署(第九阶段)
蜡笔小新星的博客
08-09 646
在本章节中,我们学习了如何使用unittest和pytest进行单元和集成测试,以及如何配置Flask应用,使用WSGI服务器部署,容器化Flask应用并将其部署到各种云服务平台。通过这些步骤,你可以确保你的Flask应用在生产环境中的稳定性和可靠性。希望这些知识能够帮助你在实际项目中更好地实现测试和部署。
python语言程序设计》2018版第6章第42题Turtle:绘制sin函数,使用程序清单6-14中的函数简化5.52代码
最新发布
电饭叔
08-10 278
在output06th.py中的代码。
leetcode:1822. 数组元素积的符号(python3解法)
qq_41905051的博客
08-09 391
leetcode:1822. 数组元素积的符号(python3解法)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值