python番外篇--sql注入

最新推荐文章于 2024-03-30 17:16:48 发布
最新推荐文章于 2024-03-30 17:16:48 发布
阅读量112 收藏
点赞数
文章标签: python 数据库
原文链接:http://www.cnblogs.com/SuKiWX/p/8962183.html
版权

一、sql注入概念介绍

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

二、Python中防止sql注入的方法

import pymysql

def op_mysql(host,user,password,db,sql,port=3306,charset='utf8'):
	conn = pymysql.connect(host=host,user=user,
						   password=password,
						   port=port,
						   charset=charset,db=db)
	cur = conn.cursor(cursor=pymysql.cursors.DictCursor)
	cur.execute(sql)
	sql_start = sql[:6].upper() #取sql前6个字符串,判断它是什么类型的sql语句
	if sql_start=='SELECT' :
		res = cur.fetchall()
	else:
		conn.commit()
		res = 'ok'
	cur.close()
	conn.close()
	return res

# conn = pymysql.connect(host='211.149.218.16',user='jxz',
# 					   password='123456',
# 					   port=3306,
# 					   charset='utf8',db='jxz')
# cur = conn.cursor(cursor=pymysql.cursors.DictCursor)
# name='zdq'
# # sql = 'select * from bt_stu where username="%s"; '%name
# sex='nv'
# cur.execute('select * from bt_stu where real_name="%s;"' % name) #可以sql注入的
# cur.execute('select * from bt_stu where real_name=%s and sex = %s',(name,sex)) #可以防止sql注入
# print(cur.fetchall())


def test(a,b):
	# print(a,b)
	pass
li = [1,2]
d = {'a':'ybq','b':'mpp'}
test(*li)
test(**d)
conn = pymysql.connect(host='211.149.218.16',user='jxz',
					   password='123456',
					   port=3306,
					   charset='utf8',db='jxz')
cur = conn.cursor(cursor=pymysql.cursors.DictCursor)

def op_mysql_new(sql,*data): #data传入后会变成一个List
	#利用 *data这个可变参数,就能防止sql注入了
	print(sql)
	print(data)
	cur.execute(sql,data)
	# cur.execute('select',(name,id,name))
	# cur.execute('select * from user where name=%s',('haha'))
	print(cur.fetchall())
# sql = 'select * from user where username  = %s and sex=%s;'
# name='haha'
# sex='xxx'
# op_mysql_new(sql,name,sex)

conn = pymysql.connect(host='211.149.218.16',user='jxz',
					   password='123456',
					   port=3306,
					   charset='utf8',db='jxz')

cur = conn.cursor(cursor=pymysql.cursors.DictCursor)

sql = 'insert into seq (blue,red,date) values (%s,%s,%s)'
all_res = [
	['16','01,02,03,05,09,06','2018-01-28'],
	['15','01,02,03,05,09,06','2018-01-28'],
	['14','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
	['13','01,02,03,05,09,06','2018-01-28'],
]
cur.executemany(sql,all_res) #批量执行
conn.commit()

  

转载于:https://www.cnblogs.com/SuKiWX/p/8962183.html

aqovxg590751
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python-产品篇-游戏-坦克
03-05
python--产品篇--游戏-坦克
python-产品篇-游戏-象棋
02-06
python-产品篇-游戏-象棋
SQL注入
acepanhuan的博客
02-09 504
SQL注入原理
SQL盲注之python脚本自动化注入
菜鸟学安全的博客
12-18 1307
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入。
Web安全渗透学习-SQL注入
weixin_43468445的博客
07-20 771
SQL注入攻击 所谓SQL注入,就是通过把SQL命令插入Web表单提交输入域名页面请求查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就...
常见的SQL注入类型
weixin_49182737的博客
05-22 1万+
sql注入的基本分类
学习Python渗透第14天:用python实现sql注入
最新发布
2203_75839317的博客
03-30 443
如果提交的参数1'and '1'='1的返回值为1,而提交的参数1' and '1'='2的返回值为0,就可以判断这个web应用程序存在sql注入漏洞了。首先我们来编写获取数据库名称的程序,分成两个步骤,首先计算数据库名称的长度,测试语句为1' and length(database())=n#,n是我们猜测的数字,这里假设最大为20.我们在判断提交了参数之后,是否有响应,可以通过requests.get()函数的返回值来确定,其中包含了,ID,Fir Name,Surname等等,就表明有响应。
python-产品篇-游戏-飞鸟
02-04
python-产品篇-游戏-飞鸟
Python库 | azure-mgmt-sql-0.8.2.zip
04-19
资源分类:Python库 所属语言:Python 资源全名:azure-mgmt-sql-0.8.2.zip 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | azure-mgmt-sql-0.15.0.zip
04-19
资源分类:Python库 所属语言:Python 资源全名:azure-mgmt-sql-0.15.0.zip 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
SQL手工注入学习机,入侵检测的战斗机
05-16
学习SQL注入的好工具,短小精悍,功能强大,不外传。请勿做非法之事! 仅供学习交流之用,概不负责。
SQL注入漏洞(绕过篇)
errorr0
06-24 4637
SQL注入的绕过手法
python防止sql注入
HideInTime的博客
04-14 3882
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
web 漏洞入门之 —— SQL 注入教程
实验楼
07-14 5259
SQL 注入是最常见、最被人们熟知的 web 漏洞。根据百科的解释:所谓SQL注入,就是通过把SQL命令插入Web表单提交输入域名页面请求查询字符串,最终达到欺骗服务器执行恶意的...
Python编写SQL注入工具(2)
diaotuanao1650的博客
11-21 433
Access注入模块编写 #coding=gb2312 import urllib import string #定义Access注入函数 class AccessInject(): def __init__(self,url): self.url=url self.tableNames=[] self.c...
PYTHON操作MYSQL时防止SQL注入
热门推荐
pi9nc的专栏
12-28 1万+
PYTHON操作MYSQL时防止SQL注入 分类: MySQL2011-09-15 10:04 1024人阅读 评论(0) 收藏 举报 sqlpythonmysqlstringjavascriptquery 下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHON和MYSQL,使用不了JAVA代码中提供的一
preparedstatement打印sql语句_SQL注入攻击,吓死宝宝了
weixin_39526872的博客
12-05 337
SQL注入攻击,是黑客对数据库进行攻击的常用手段之一。那么,什么是SQL注入SQL注入是怎么发生的?如何防止SQL注入?我们今天就来了解一下!总结:一、所谓SQL注入,是将客户机提交或Web表单递交的数据,拼接成SQL语句字符串时。如果客户端提交的数据有非法字符SQL语句关键字时,会造成执行的SQL语句语法错误,或执行结果不正确的情况。通过SQL注入,黑客可以最终达到欺骗服务器,执行恶意的SQ...
mysql注入漏洞手注
一个码农的笔记
09-29 6093
mysql: 报错注入: 以http://www.hexie.com/main/articleDetail.php?id=757 为例子: http://www.hexie.com/main/articleDetail.php?id=757' 报错 方法一:(1)http://www.hexie.com/main/articleDetail.php ?id=757' and (sel
SQL注入原理及攻击演示
weixin_38167826的博客
02-27 1929
一、什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入Web表单递交或输入域名页面请求查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储...
install python-selinux python-semanage python-sepolgen
06-09
sudo yum install -y python3-libselinux policycoreutils-python-utils ``` 这将安装 Python 3 版本的 SELinux 模块以及一些 SELinux 相关的工具。如果你使用的是 Python 2.x 版本,可以将上面的命令中的“python3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值