参数化SQL语句, 防止SQL注入

最新推荐文章于 2024-09-22 16:16:41 发布
最新推荐文章于 2024-09-22 16:16:41 发布
阅读量2.1k 收藏 2
点赞数
文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42553082/article/details/83692309
版权 
from pymysql import connect

def main():
    #第一步创建连接对象
    conn = connect(host='192.168.11.93',port=3306,user='root',password='root',db='test2',charset='utf8')
    #第二步创建游标对象
    cur = conn.cursor()
    #构造sql语句
    sql = 'select * from stu'
    #使用游标对象执行sql语句
    
    cur.execute(sql)
    #通过游标对象可以查看查询的结果
    #返回的是所有数据,每个数据是一个小元组,然后全部放在一个大元组当中
    # a = cur.fetchall()
    # 返回的是一个数据,这个数据用元组封装
    # a = cur.fetchone()
    # cur.scroll(1)
    # a = cur.fetchall()
    a = cur.fetchmany(3)

    a=cur.fetchall()
    a=cur.fetchone()
    print(a)

    cur.close()
    conn.close()


if __name__ == '__main__':
    main()

上面的方式会造成SQL注入, 需要把SQL参数化传入
在这里插入图片描述
在这里插入图片描述

from pymysql import  connect
class MysqlHandler(object):
    def __init__(self,host,port,user,password,db,charset):
        self.host = host
        self.port = port
        self.user = user
        self.password = password
        self.db = db
        self.charset = charset
        self.conn = None
        self.cur = None

    def open(self):
        self.conn = connect(host=self.host,port=self.port,user=self.user,password=self.password,db=self.db,charset=self.charset)
        self.cur = self.conn.cursor()

    def close(self):
        self.cur.close()
        self.conn.close()

    def cud(self,sql,params=None):
        if not params:
            params=[]
        self.cur.execute(sql,params)
        self.conn.commit()
        self.close()

    def get_one(self,sql,params=None):
        if not params:
            params=[]
        self.cur.execute(sql,params)
        a = self.cur.fetchone()
        self.close()
        return a

    def get_all(self,sql,params=None):
        if not params:
            params=[]
        self.cur.execute(sql,params)
        a = self.cur.fetchall()
        self.close()
        return a



def main():
    helper = MysqlHandler('192.168.11.96',3306,'root','root','test2','utf8')
    helper.open()
    helper.cud("insert into student---------",params=[])
    print('ok')
if __name__ == '__main__':
    main()
qq_42553082
关注
如何用参数化SQL语句污染你的计划缓存
12-14
总结来说,使用参数化SQL语句是避免SQL注入和提高性能的有效手段,但必须谨慎处理参数的类型和长度。在ADO.NET中,避免使用`AddWithValue`方法,而是直接使用`SqlParameter`来明确定义数据类型和长度,以防止计划...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 5万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6715
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何防止SQL注入
最新发布
weixin_61898502的博客
09-22 552
用户输入的数据中有SQL关键词,导致在执行SQL语句时出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Galaxy_0的博客
01-13 841
SQL参数化查询--最有效可预防SQL注入攻击的防御方式
Sql参数化防止Sql注入
m0_57701510的博客
12-20 336
cmd.Parameters.Add():添加一个参数。增加多个参数时,需要使用一个Foreach循环;表示 SqlCommand 的参数,也可以是它到 DataSet 列的映射。cmd.Parameters.AddRange():添加一个参数的数组;程序集: System.Data(在 System.Data.dll 中)命名空间: System.Data.SqlClient。Sql参数化添加多条数据,废话不多说,上码。SqlParameter 类。Sql Server数据库。
如何避免SQL注入攻击?
CSBIGDOG的博客
03-27 792
SQL注入是一种常见的网络安全威胁,攻击者通过在用户输入中插入恶意的SQL代码,从而可以执行未经授权的数据库操作。使用ORM(对象关系映射)框架,如Hibernate、MyBatis等,可以帮助自动处理SQL查询和参数。存储过程是一组预定义的SQL语句集合,可以在数据库中进行重复性和复杂性的操作。不要直接将用户输入拼接到SQL语句中,而是使用参数化查询或其他安全的方案。使用参数化查询可以防止SQL注入攻击,并提高代码的可读性和可维护性。对应用程序中的所有输入数据进行验证和过滤,以确保它们是有效和合法的。
sql语句中用问号代替参数
08-02
1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...
SQLServer Top语句参数化方法
09-11
`sp_executesql`存储过程是SQL Server提供的一种执行参数化SQL语句的方法,它可以有效地防止SQL注入,同时提高查询性能,因为它会缓存已编译的查询计划,对于重复执行的SQL语句,可以避免重复解析和编译的过程。...
SQL Server SQL性能优化之参数化
12-14
默认情况下,SQL Server采用简单参数化,这意味着如果收到的SQL语句与之前执行过的任何语句不完全相同,系统会重新编译它。然而,对于某些特定的adhoc SQL,即使参数值改变,SQL Server也会尝试自动参数化,以重用已...
asp执行带参数的sql语句实例
10-25
参数化SQL语句则能够有效地避免这种风险。 在给定的代码实例中,我们可以看到如何在ASP中使用ADODB对象来执行带有参数的SQL查询。首先,创建一个`ADODB.Connection`对象来建立与数据库的连接。这里的连接字符串使用...
SQL参数化防止SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
SQL参数化-防SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了防止SQL注入
防止SQL注入参数化方法
uestcyao的专栏
11-15 976
最好的方法就是用参数化SQLSqlConnection cn=new SqlConnection("连接字符串"); SqlCommand cmd=new SqlCommand("insert into 表 values(@name,@pwd)",cn); cmd.Paramters.AddWithValue("@id",TextBoxName.Text); cmd.Paramters
sqlserver:sql注入防范&参数化sql
火焰
02-03 2418
环境: sqlserver2008及以上 .net core 3.1 sql注入本质: 接收用户输入的字符串并且将字符串拼接成sql语句执行。由于用户的故意的输入,打断了原来的sql结构。 --正常语句 select * from sysuser where username='admin' and pwd='123456' --被注入的语句(用户输入的用户名是【admin' --】,密码还是123456) select * from syssuer where username='admin' --'
为什么sql参数化查询能够防止sql注入
u013595395的博客
11-05 827
听闻: (1)参数化查询并不是拼接字符串,而是将sql模板和参数这两部分,分开提交给数据库,由数据库处理。 (2)数据库对sql模板,进行分析处理。(影响很大,接近全部) (3)数据库对参数,只作为值类型的值来进行比较,不进行分析处理。(值的结果会影响索引,但不会改变执行计划的本意) sql注入是,参数提供了额外的运行逻辑,不解析参数,就安全了。 ...
参数化命令执行sql语句
MousseIn的博客
11-30 2988
参数化命令执行sql语句理解参数化指令的好处掌握使用参数化指令执行sql语句使用@构造参数化sql命令sqlParameter对象SqlParameter的属性使用SqlCommmand 执行参数化SQL的步骤 理解参数化指令的好处 防止sql注入 string sb = “SELECT *FROM admin WHERE loginid =’”+loginId+"‘AND loginPwd =’"+logingPwd+"’" string sb =“SELECT * FROM admin WHERE
使用#传递参数防御SQL注入攻击
Leon_Jinhai_Sun的博客
10-24 581
SQL注入攻击 什么是SQL注入 SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的操作。 造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码 SQL注入防攻击手段 不要使用拼接SQL语...
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 6054
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值