python web 数据库sql注入

最新推荐文章于 2024-08-27 13:51:12 发布
最新推荐文章于 2024-08-27 13:51:12 发布
阅读量1k 收藏
点赞数 2
分类专栏: web基础 数据库 文章标签: python web sql注入 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37561761/article/details/79326099
版权

大家都知道在数据库查询数据时,是被提示尽量少用字符串查询数据,而是用(?,?,?)的方式代替,这样就是为了防sql注入。

那什么是sql注入呢,我们下面就演示一下:

错误实例:

sql = '''
    SELECT
        id,username,email
    FROM
        users
    WHERE
        username="{}" and password="{}"
    '''.format(usr, pwd)

数据库中有条数据,username = fei ,password = 1234 ,email = fei@qq.com

我们这里usr = fei,pwd = 1234

我们执行正确的数据,返回,如下:

打开了数据库
查询到的数据 [(1, 'fei', 'a@b.c')]

这样就查询到了需要的数据,但是我们用一条数据库不存在的数据,usr = fei11,pwd = 1234,如下:

打开了数据库
查询到的数据 []

数据为空,因为数据库根本没有这条数据!,但是,用sql注入的话,却可以轻松查到数据

sql注入,只需要改变一句话:

    usr = 'fei11" or "1"="1'

我们再次查询:

打开了数据库
查询到的数据 [(1, 'fei', 'a@b.c')]

看见了吧,因为是字符串查询,所以用个 or 条件就可以轻松摆脱限制查询到数据。

现在,我们改成正确的代码:

 usr = 'fei11" or "1"="1'
    # usr = 'fei222'
    pwd = '1234'
    sql = '''
    SELECT
        id,username,email
    FROM
        users
    WHERE
        username= ? and password= ?
    '''
    cursor = conn.execute(sql,(usr,pwd))

usr选择错误的且有注入,然后看结果:

打开了数据库
查询到的数据 []

查询到的为空,所以在数据库操作中尽量少用字符串插入,防止sql注入。

lowphper
关注
专栏目录
Python 数据库开发实战 - PythonMySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
使用Python防止SQL注入攻击的实现示例
09-16
鉴于Python在全球范围内广泛应用于Web开发及其他领域,掌握如何有效防止Python中的SQL注入成为开发者必须具备的一项技能。 #### 一、理解Python SQL注入 **定义:** SQL注入攻击是指攻击者通过恶意输入数据来操纵...
基于pythonsql注入脚本
03-04
适合刚学pythonsql注入的人 import urllib2 import re
Python编写SQL注入工具(1)
diaotuanao1650的博客
11-21 623
编写原由:自学了一点SQL注入Python的知识.虽然,早就有了非常好的注入工具Sqlmap,但自己想写一个自动注入的工具玩玩,写的不好之处,还望不吝指正. 第一部分:注入点测试模块(injectTest.py) #coding=gb2312 import urllib import os import string from re import search ...
Python知识地图】网络安全:SQL注入和XSS防护
科技改变人类,技术成就未来
08-27 593
网络安全是现代互联网应用开发中至关重要的一部分。SQL注入(SQL Injection)和跨站脚本攻击(Cross-Site Scripting,简称XSS)是两种常见的网络攻击方式。本文将详细介绍SQL注入和XSS的基本概念、攻击原理及其防护措施。
Python编写SQL注入工具(2)
diaotuanao1650的博客
11-21 456
Access注入模块编写 #coding=gb2312 import urllib import string #定义Access注入函数 class AccessInject(): def __init__(self,url): self.url=url self.tableNames=[] self.c...
sql注入python_Python--sql注入
weixin_39702799的博客
12-15 147
import pymysqlconn = pymysql.connect(host='211.149.218.16', user='jxz', password='123456', db='jxz', port=3306, charset='utf8')cur = conn.cursor(cursor=pymysql.cursors.DictCursor)name = 'zdq'sex = 0cu...
python防止源码泄露_Pyhton中防止SQL注入的方法
weixin_39626162的博客
11-28 170
c=db.cursor()max_price=5c.execute("""SELECT spam, eggs, sausage FROM breakfastWHERE price < %s""", (max_price,))注意,上面的SQL字符串与后面的tuple之间的分隔符是逗号,平时拼写SQL用的是%。如果按照以下写法,是容易产生SQL注入的:c.execute("""SELECT spam...
Python中防止sql注入的方法详解
09-21
对于使用Python进行Web开发的人员来说,了解如何有效地预防SQL注入是非常重要的。本文将详细介绍几种在Python开发中防止SQL注入的方法,并通过实例来展示这些技术的应用。 #### SQL注入的原因与危害 SQL注入通常...
Python中的SQL注入防御:技术与实践
最新发布
09-24
SQL注入攻击是Web应用程序中最常见的安全威胁之一。它允许攻击者通过在输入字段中插入恶意SQL代码,来操纵后台数据库执行非法操作。Python,作为一种广泛使用的编程语言,提供了多种工具和技术来帮助开发者防止SQL...
Python实现SQL注入检测插件实例代码
09-19
### Python实现SQL注入检测插件的关键技术点与实践 #### 一、背景介绍 随着互联网技术的迅速发展,Web应用程序面临着各种安全威胁,其中SQL注入是最常见也是最危险的一种攻击方式之一。为了保护Web应用程序免受此类...
sql注入程序(python2.7+pyqt4.8.5)
03-10
包含程序,还有两个jsp的测试网站(MSSQL、MySQL),程序带有详细的注释。
pythonsql注入
love_parents的博客
09-10 3296
转载自: python SQL注入的解决办法 pythonsql注入 背景 APP爆出一个大Bug,只要在查询框内输入“%”,就检索出所有的数据,最后有人给出了这样的解决方案,在前端进行验证,禁止用户输入“%”之类的特殊字符。 帅呆了!责任轻易地就甩给了前端! 我反问,如果百分号要进行禁止,那么“*&’“()”要不要进行禁止?“desc、select、from”等关键字要不要禁止?还有“+-”,正则表达式相关的符号要不要禁止?就算输入框禁止了,直接发送http请求又如何禁止?
python Web安全之防止SQL注入
Fantasy_worm的博客
01-03 3788
伴随着Web2.0、社交网络、微博等一系列新型互联网产品的兴起,基于Web环境的互联网应用越来越广泛,Web攻击的手段也越来越多样,Web安全史上的一个重要里程碑是大约1999年发现的SQL注入攻击,之后的XSS,CSRF等攻击手段愈发强大,Web攻击的思路也从服务端转向了客户端,转向了浏览器和用户。 在安全领域,一般用帽子的颜色来比喻黑客的善与恶,白帽子是指那些工作在反黑客领域的技术专家,这个...
python编写sql注入工具-利用Python实现SQL注入 - Python黑客编程入门系列 - 8
weixin_39705931的博客
11-11 565
{getUnitName}{getLessonName}敬请期待免费{getTaskName}剩余观看时长:{watchLimitRemaining}回放{activityStartTimeStr}正在直播中直播结束{activityLength}免费{getTaskName}敬请期待{"id": "1310","isDefault": ...
python番外篇--sql注入
aqovxg590751的博客
04-27 138
一、sql注入概念介绍 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 二、Python中防止...
python的pymysqlsql注入
软件测试老痞
12-09 201
import pymysql conn = pymysql.connect(host='127.0.0.1',port=3306,user='root',passwd='ljj83538301',db='test',charset='utf8') # cursor = conn.cursor()#拿到的是元组 cursor = conn.cursor(cursor=pymysql.cursor...
自动SQL注入 -使用python编写SQL注入【一.检测注入类型】
qq_40591440的博客
11-21 1774
前言: 使用 SQLlib 当目标靶机: 检测实现的原理 注入有很多种有基于返回信息的注入,基于返回的报错注入,基于页面显示的注入,基于时间的注入 本次主要检测注入类型 手动检测 下面手动演示 Union联合注入 在自动检测的时候尽量先手动的进行检测报错以确认目标闭合的条件和是否可进行返回等信息 如下图所示输入 id=1 是正常显示 当输入 id=1'的时候进行保存 ''1'' LIMIT 0,1'是时候可以对报错信息进行拆分 拆分流程 ''1'' LIMIT 0,1' #首先去掉两边的 单引号 '
Python实现SQL注入检测插件:爬虫与数据库识别
"Python实现SQL注入检测插件的实例代码主要涉及了Python爬虫技术、SQL注入检测以及数据库错误识别。该插件通过构建爬虫收集网站链接,并利用SQL注入测试方法来判断是否存在注入漏洞。" 在网络安全领域,SQL注入是一...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值