pymysql模块学习之sql注入

最新推荐文章于 2024-08-22 20:23:10 发布
最新推荐文章于 2024-08-22 20:23:10 发布
阅读量147 收藏
点赞数
分类专栏: Python3 文章标签: python 数据库 pymysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32617703/article/details/103575553
版权

目录

sql注入

利用sql的行内注释 -- 实现的
行内注释语法:
    -- 后至少有一个任意字符
注意:
    --符号后面有一个空格,再跟至少一个字符
解释:
    行内注释符号 -- 会注释掉它之后的sql。

根本原理:
    根据程序的字符串拼接name='%s',我们输入一个xxx' -- haha,
    用我们输入的xxx加'在程序中拼接成一个判断条件name='xxx' -- haha'

情况一:
    #1、sql注入之:用户存在,绕过密码
    egon' -- 任意字符   (你的语句是什么引号,这里也要用什么引号)

情况二:
    #2、sql注入之:用户不存在,绕过用户与密码
    alexsb' or 1=1 -- 任意字符

示例代码

#!/usr/bin/python3
# -*- coding: utf-8 -*-
"""sql注入

利用sql的行内注释 -- 实现的
行内注释语法:
    -- 后至少有一个任意字符
注意:
    --符号后面有一个空格,再跟至少一个字符
解释:
    行内注释符号 -- 会注释掉它之后的sql。

根本原理:
    根据程序的字符串拼接name='%s',我们输入一个xxx' -- haha,
    用我们输入的xxx加'在程序中拼接成一个判断条件name='xxx' -- haha'

情况一:
    #1、sql注入之:用户存在,绕过密码
    egon' -- 任意字符   (你的语句是什么引号,这里也要用什么引号)

情况二:
    #2、sql注入之:用户不存在,绕过用户与密码
    alexsb' or 1=1 -- 任意字符
"""

import pymysql

# 连接
conn = pymysql.connect(
    user='root',
    password='',
    host='localhost',
    port=3306,
    charset='utf8mb4',
    database='hardy2_db',
)

cursor = conn.cursor(cursor=None)


username = input('username, please>>> ').strip()
# 情况一,输入:hardy9sap' -- done
# 情况二,输入:xxx' or 1=1 -- done
password = input('password, please>>> ').strip()

try:
    sql = f"select id, username, password from userinfo where username='{username}' and password='{password}';"
    # 注意:
    #     1. 当sql语句的拼接,参数没有使用execute传入时,原字符串中的占位符必须加引号。
    #     2. 写SQL语句的时候,不要进行这样的拼接。因为会发生SQL注入,那你就等着被gan吧。
    cursor.execute(query=sql)
    res = cursor.fetchone()
except pymysql.err.ProgrammingError as e:
    print(e)
except pymysql.err.InternalError as e:
    print(e)
else:
    if res:
        print('Welcome to log in!')
    else:
        print('Failed!')
finally:
    # 关闭游标
    cursor.close()

    # 关闭连接
    conn.close()
爱喝水的qdy
关注
专栏目录
pymysql的使用,sql注入问题
Yydsaoligei的博客
08-18 815
pymysql的使用,sql注入问题, MySQL
MySQL 之Navicat Premium 12安装使用、pymysql模块使用、sql注入问题的产生与解决
weixin_42625143的博客
07-29 429
阅读目录 一、Navicat Premium 12简介与使用: 二、pymysql模块的使用: 查: 增删改 三、sql注入问题产生与解决方法: 本文内容提要: Navicat Premium 12 的介绍、使用。 pymysql模块的使用 sql注入问题的产生与解决 一、Navicat Premium 12简介与使用: 1、Navicat Premium 12是一套快速、可靠...
pymysql如何解决sql注入问题深入讲解
09-09
主要给大家介绍了关于pymysql如何解决sql注入问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考价值,需要的朋友们下面随着小编来一起学习学习
pymysql 解决 sql 注入问题
居士的CSDN
11-08 1354
1. SQL 注入 SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。 例如,下面这段代码通过获取用户信息来校验用户权限: import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = ' ...
pythonpymysqlsql注入
软件测试老痞
12-09 190
import pymysql conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',passwd='ljj83538301',db='test',charset='utf8') # cursor = conn.cursor()#拿到的是元组 cursor = conn.cursor(cursor=pymysql.cursor...
pymysql模块SQL注入
花城的博客
08-16 1268
pymysql模块SQL注入及解决方法
SQL语句,pymysql模块sql注入问题
08-23 517
一、完整版SQL语句的查询 select distinct post,avg(salary) from table where id > 1 group by post` having avg(salary)>100 order by avg(salary) limit 5,5 ​ group by:分组之后,分...
pymysql模块的操作实例
12-23
pymysql模块时一个第三方模块!需要下载: pymysql的基本使用: import pymysql conn = pymysql.connect( user = 'root', password = '123', host = '127.0.0.1', # ip地址 port = 3306, # 端口 charset = '...
pymysql模块的使用(增删改查)详解
12-31
这就用到了pymysql模块,该模块本质就是一个套接字客户端软件,使用前需要事先安装。 (1)pymysql模块的下载 pip3 install pymysql (2)pymysql的使用 # 实现:使用Python实现用户登录,如果用户存在则登录成功...
MySQL基础(五):pymysql模块使用、sql注入
一点一滴铺就人生
06-17 518
下面是小凰凰的简介,看下吧! ????人生态度:珍惜时间,渴望学习,热爱音乐,把握命运,享受生活 ????学习技能:网络 -> 云计算运维 -> python全栈( 当前正在学习中) ????您的点赞、收藏、关注是对博主创作的最大鼓励,在此谢过! 有相关技能问题可以写在下方评论区,我们一起学习,一起进步。 后期会不断更新python全栈学习笔记,秉着质量博文为原则,写好每一篇博文。 文章目录一、pymysql模块基本操作1、安装pymysql2、代码链接mysql3、pymysql操作数据库4
pymysql模块学习sql注入解决方案
爱喝水的qdy的博客
12-17 155
目录解决方案示例代码 解决方案 有些网站在让其输入账号的时候,会自动检测,不能输入特殊字符 在程序中更改字符串拼接的方式 改写为(execute 帮我们做字符串拼接,我们无需且一定不能再为%s加引号了) sql = 'select id, username, password from userinfo where username=%(uname)s and password=%(pw...
pymysql操作以及简单sql注入模拟
qq_37369726的博客
12-17 741
pymysqlpython连接mysql操作的一个模块pymysql操作: import pymysql conn = pymysql.connect( host='192.168.247.100', port=3306, user='root', password='123457', database='test', charset='utf8' ) # cursor = conn.cursor(pymysql.cursors.DictCursor)
5 数据库 MySQL pymysql模块 SQL注入
健浩的博客
05-07 268
数据库 MySQL 1 多表查询练习 1.1 SQL语句解法 编写SQL语句时,首先关注检索条件,字段先用 * 占位; 面对复杂的SQL语句问题,将问题拆分逐个进行查询,最后再拼接起来。 1.2 ER图 1.3 练习 1.3.1 查询所有的课程的名称以及对应的任课老师姓名。 SELECT course.cname, teacher.tname FROM course INNER J...
pymysql的使用及sql注入
weixin_34133829的博客
04-06 453
pymysql简介 pymysqlpython操纵mysql的一个模块,本质上是一个socket客户端 pymysql使用 准备数据 #创建数据库db2,如果已存在,请忽略 CREATE DATABASE db2 DEFAULT CHARACTER SET utf8; #创建用户表 CREATE TABLE `userinfo` ( `id` int(10) unsigned NOT NU...
python-入门篇-day08-PyMySQL
最新发布
m0_60916732的博客
08-22 932
自定义的模块(充当: 工具类), 里边定义的都是 PyMysql相关的最基本的操作, 用于简化刚才 PyMysql-CURD中 大量重复代码的.因为受到目前所学知识点的限制, 很多内容例如: 面向对象, 魔法方法, 封装很多内容都没学, 所以我们仅仅是: 模拟 工具模块(工具类)的 思维.实际开发中, 如果我们的SQL语句中 部分内容是由用户键盘录入的, 此时如果用户录入一些非法值, 就很有可能改变了我们SQL语句的结构, 从而引发一系列的安全问题, 这些安全问题就是: SQL注入攻击.事务。
SQL注入
acepanhuan的博客
02-09 524
SQL注入原理
pythonPyMySQL模块的使用与SQL注入
Monicx的博客
05-11 3697
    首先简单的说一下PyMySQL模块是干什么用的。它是某个大神给我们这些python开发人员用Python语言编写的一个MySQL驱动程序,让我们可以用Python语言操作MySQL数据库。如果你不想要用它,如果你很牛,你自己也可以开发一个,但是别人都写好了,你自己写一个,也没什么价值,就是浪费时间。    so,大树底下好乘凉,我们只要把大神写好的模块拿过来用就好了,那么怎么用呢。让我来为...
python-pymysql防止sql注入攻击介绍
weixin_30593261的博客
09-02 970
目录 pymysql sql 注入攻击 调用存储过程 pymysql pymysql 是一个第三方模块,帮我们封装了 建立表/用户认证/sql的执行/结果的获取 import pymysql # 步骤 ''' 1. 连接服务端 2. 用户认证 3. 发送...
Python操作MySQL:pymysql模块详解及SQL注入防范
"pymysql模块的使用方法及SQL注入防范" 在Python中操作MySQL数据库时,pymysql模块是一个常用的选择。它作为一个Python接口,允许开发者通过Python代码与MySQL服务器进行交互。首先,你需要通过`pip3 install ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值