Tornado提升之数据库应用安全

最新推荐文章于 2021-04-10 21:52:45 发布
最新推荐文章于 2021-04-10 21:52:45 发布
阅读量135 收藏
点赞数
分类专栏: Tornado框架 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45672137/article/details/107268690
版权

数据库

  • 概述:tornado没有自带的ORM , 对于数据库需要自己去适配
    • 目前python3.6+tornado还没有比较完善的驱动
  • 链接:

    • 在应用启动时创建一个数据库链接实例,提供各个RequestHandler使用。

    • 在RequestHandler中通过self.application来获取其应用

        # application.py:创建数据库实例
  self.db = SunckSql(config.mysql["host"],config.mysql["user"],config.mysql["passwd"],
                     config.mysql["dbName"])
   -------------------------------------
  # index.py
  from sunckSql import SunckSql
  class studentsHandler(RequestHandler):
      def get(self):
          # 去数据据中提取数据
          stus = self.application.db.get_all_obj("select * from tb_student","tb_student")
          self.render("student.html",stus=stus)

应用安全

  • Cookie

    • 普通cookie(不安全)

      • 设置

          原型:self.set_cookie(name,value,domain=None,expires=None,path="/",expires_day=None,**kwags)
  参数:name:cookie名,
       value:cookie值
       domain:提交cookie时匹配的域名
       path:提交COOKIE时匹配的路径
       expirse:cookie的有效期,可以是时间戳、整数、时间元组、datatime类型,为UTC时间
       expirse_days:cookie的有效期,天数,优先级低于expires
  ----------------------------------------------------------

      -原理:设置cookie实际上是通过设置header的Set-Cookie来实现的

            两中方法都可以设置cookie
      self.set_header("Set-Cookie","luciano=nice;Path=/")
      推荐:self.set_cookie("luciano","computerGOD")

      • 获取

          原型:self.get_cookie(name,default=None)
  参数:
      name: 要获取的 cookie名称
      default:如果名为name 的cookie不存在,则返回default值

      • 清除

        • 作用:删除名为name ,并同时匹配domain 和 path的 cookie’

            原型:self.clear_cookie(name,path="/",domain=None)
      self.clear_all_cookies(path="/",domain=None)

        • 注意:执行清除cookie操作后并不是立即删除浏览器端的Cookie而是给cookie的值设置为空,
          并改变其有限期限为失效。真正删除cookie是由浏览器自己去清理

    • 安全cookie (加密)

      • django没有的Cookie

      • cookie是存在客户端浏览器的数据,很容易被篡改

      • tornado提供了一种对cookie进行简易的加密方式来防止cookie被而已篡改

      • 设置:

        • 需要为应用配置一个用来给cookie进行混肴的加密密钥

            import base64
  import uuid
  base64.b64encode(uuid.uuid4().bytes+uuid.uuid4().bytes)
  >>> 会生成一串字符串(100亿年不会出现重复)
  ---------------------------------------
  将生成好的密钥配置到config.py
  "cookie_secret":"tfA8keUBRy2y+HdXA91DSSDVq3v3EUp6gbsGqeHUHTA=",

        • 原型:

            self.set_secure_cookie(name=,value=,expires_days=30,version=None,**kwargs)

        • 作用:设置一个带有签名和时间戳的cookie,可以防止伪造

            客户端获取到的cookie值:2|1:0|10:1593503769|5:quezi|8:V0ROTUQ=|f218bbb14c9c39bacf3ce303cbe48d61f112c04d3140a5b68d793dffcda9e3fe
  说明:安全cookie的版本,默认是2版本,":"前面是位数,":"后面是相应位数对应的值,
       "0":           默认
       “1593503769”:时间戳
       “quezi”:    cookieName
       "V0ROTUQ=":  base64的编码的cookie值
       “f218bbb14c9c39bacf3ce303cbe48d61f112c04d3140a5b68d793dffcda9e3fe”:签名值,不带长度说明

      • 获取

        • 原型:

             self.get_secure_cookie(name=,value=,max_age_days=31,min_version=None)      
   参数:
      value:       如果cookie存在且验证通过,返回cookie值,否则返回None         
      max_age_days:max_age_days(过滤安全cookie的时间戳) 不同于 expires(设置浏览器总cookie的有效时间) ,

      • 注意:也不是完全的安全,一定程度上增加了破解cookie的难度
        以后不要用cookie存储一些敏感性数据

  • XSRF

    • 跨站请求伪造
      当用户从浏览器上粘贴几个标签放到一个普通的html页面上去登录我们服务器的"cookie计数器"地址时,
      在我们不知情,我们未授权的情况下,“cookie计数器”网站cookie被使用,以至于cookie计数器网址
      认为是它自己网站调用了Handler逻辑

        黑客:html  file:///C:/Users/Shinelon/Desktop/test.html
   <!DOCTYPE html>
  <html lang="en">
  <head>
      <meta charset="UTF-8">
      <title>Title</title>
  </head>
  <body>
  <img src="http://127.0.0.1:8080/cookienum">
  <h1>去看看吧 ,我可能把你弄坏</h1>
  </body>
  </html>
  ------------------------------------------
  服务器:index.py
  class cookienum(RequestHandler):
      def prepare(self):
          # 往往通过预处理函数来做cookie计数,
          pass
  
      def get(self,*args,**kwargs):
          # 获取cookie中 name 为 count的值,判断count的数量
          # 如果没获取到那说明是第一次,即count=1 否则就是第“>1次”,则让count += 1 。
          # 最后更新cookie中count值
          count = self.get_cookie("count",None)
          if not count:
              count = 1
          else:
              count = int(count)
              count += 1
          self.set_cookie("count",str(count))
  
          self.render("cookinum.html",count=count)
   ----------------------------------------------
   这样下来 只要黑客不断刷新他的html 网页,我们服务器就会不断的更新cookie 
   name为count的值

    • 上一个程序使用的时GET方式模拟攻击,为了防止这种攻击,一般对于相对安全的操作是不会放在GET请求中的,
      一般会用做POST请求

    • XSRF保护:(同源策略)

        同源:同协议  、 同域名  、 同端口

    • 开启XSRF保护

        config.py添加
  "xsrf_cookies":True

    • 应用:

      • 模板 {% module xsrf_form_html() %}

          在form表单上面加上:
      {% module xsrf_form_html() %}
  作用:
       1.为浏览器设置了_xsrf的安全cookie,这个cookie会在关闭浏览器失效
          cookie:Set-Cookie: _xsrf=2|0a7a73bc|93954775aead64d33a14231bf4aeb0dd|1593510433; Path=/
       2.为模板表单添加了一个隐藏域,名为_xsrf,值为_xsrf这个cookie的值
          隐藏域:<input type="hidden" name="_xsrf" value="2|0a7a73bc|93954775aead64d33a14231bf4aeb0dd|1593510433">
  -----------------------------------------------------------------

      • 注意:这这方式看似解决了跨站请求伪造,但是实际上依然未解决:

          -----------------------------------------------------------
  黑客: html  file:///C:/Users/Shinelon/Desktop/test.html
  <!DOCTYPE html>
  <html lang="en">
  <head>
      <meta charset="UTF-8">
      <title>Title</title>
  </head>
  <body>
  # 将服务器上的代码隐藏于 copy到黑客本地的html中
  <input type="hidden" name="_xsrf" value="2|0a7a73bc|93954775aead64d33a14231bf4aeb0dd|1593510433">
  <img src="http://127.0.0.1:8080/cookienum">
  <h1>去看看吧 ,我可能把你弄坏</h1>
  </body>
  </html>
  --------------------------------------------------------------
  服务器 index.py
  class postfile(RequestHandler):
  def get(self):
      self.render("postfile.html")
  def post(self,*args,**kwargs):
      count = self.get_cookie("count", None)
      if not count:
          count = 1
      else:
          count = int(count)
          count += 1
      self.set_cookie("count", str(count))
      self.redirect("/cookienum")
  -------------------------------------------------------
   没有安全

      • 非模板(三种方式)

        • 手动设置 _xsrf的cookie

          • {% module xsrf_form_html() %} 这句话的内部原理:

              手动创建<input>隐藏域 ,并设置name属性值为_xsrf,value属性值名为_xsrf的cookie值
  --------------------------------------------
  # 手动设置_xsrf 的 cookie
  class setxsrfcookie(RequestHandler):
      def get(self,*args,**kwargs):
          #设置一个_xsrf的cookie
          self.xsrf_token
          self.finish("ok")
  -----------------------------------------
  html:
  <input id="hi" type="hidden" name="_xsrf" value="">
  <script type="text/javascript">
  function getCookie(name) {
      var cook = document.cookie.match("\\b"+name+"=([^;]*)\\b")  //match() 查找  "\\b"二进制
      return cook ? cook[1] : undefined  // 三目运算符 ?
  }
  document.getElementById("hi").value = getCookie("_xsrf")
  console.log(getCookie("_xsrf"))

        • 发起ajax请求

                <button onclick="login()">登录</button>
      ---------------------------------
       // ajax POST:
      function login(){
          console.log("_xsrf")
          // _xsrf = 值&username=值&passwd = 值
          $.post("/postfilenew","_xsrf="+getCookie('_xsrf')+"&username="+"luciano"+"&passwd="+"1234",function (data) {
                  console.log(data)
                  alert("ok")
          })
      }
      ------------------------------
      // ajax原生:(推荐使用)
      function login(){
          data = {
              "username":"lucinao",
              "passwd":"123",
          }
          // 将 data 对象转成 JSON字符串
          dataStr = JSON.stringify(data)
          $.ajax({
              url : "/postfilenew",
              method:"POST",
              data : dataStr,
              success:function () {
                      alert("ok")
              },
              // 设置请求头
              headers:{
                  "X-XSRFToken":getCookie("_xsrf"),
              }
          })
      }

        • 问题:需要手动添加_xsrf的cookie,需要再进入主页时候自动设置上_xsrf的cookie

            路由最下面加上:
  (r'/(.*)$',index.StaticFileHandler,
  {"path":os.path.join(config.BASE_DIRS,"static/html"),"default_filename":"index.html"})
  ------------------------
  index.py加上:
  class StaticFileHandler(tornado.web.StaticFileHandler):
      # 重写父类__init__方法
      def __init__(self,*args,**kwargs):
          super(StaticFileHandler,self).__init__(*args,**kwargs)
          # 在父类中手动设置_xsrf 的 cookie
          self.xsrf_token
饺芝Hotz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python学习笔记——Tornado数据库交互与安全
唯恋殊雨的博客
08-27 1487
目录 5.1 数据库 torndb安装 连接初始化 使用数据库 6.1 Cookie 设置 获取 清除 安全Cookie 6.2 XSRF 跨站请求伪造 XSRF保护 6.3 用户验证 authenticated装饰器 get_current_user()方法 login_url设置 5.1 数据库 与Django框架相比,Tornado没有自带ORM,对于数据...
Tornado提升之用户验证安全
qq_45672137的博客
07-10 251
用户验证 指再受到用户请求后进行预先判断用户的认证状态(是否登录),若验证通过则正常处理,否则进入到登录界面 tornado.web.authenticated装饰器 作用:tornado将确保这个方法的主体只有合法的用户才能调用 get_current_user() 功能:验证用户的逻辑因该写在该方法中,如果该方法返回的为True说明验证成功,否则验证失败 验证失败,请求会将访客重定向到配置中的login_url所指定的路由 整体逻辑: 用户在没有登录的情况下进入home和
tornado数据库
huolan__34的博客
06-24 286
tornado没有自带ORM,需要自己适配数据库配置数据库:    在配置文件中添加一个配置  mysql = {"host":xxx.xxx.xxx.xxx,                                                            "user":"root",                                             ...
tornado框架SQLAlchemy的操作
suyn000的博客
10-24 2280
SQLAlchemy连接数据库在用到python的一些框架里,需要进行前后端数据交互,其中数据库的连接是必不可少的,之前自己使用SQLAlchemy在进行数据库连接时遇到了很多问题,以及一些流程不是很清楚。所以花了点时间进行了一下流程梳理。1.首先建立一个空py文件(这里命名为connect.py),导入包:from sqlalchemy import create_engine接下来设定连接数据库
tornado连接数据库
微信号:RunsenLiu
05-12 1734
ORM 对象关系映射(英语:(Object Relational Mapping,简称ORM,或O/RM,或O/R mapping),是一种程序技术,用于实现面向对象编程语言里不同类型系统的数据之间的转换 。从效果上说,它其实是创建了一个可在编程语言里使用的–“虚拟对象数据库”。 通过 ORM 可以不用关心后台是使用的哪种数据库,只需要按照 ORM 所提供的语法规则去书写相应的代码, ORM 就会...
基于 tornado 框架的学术搜索引擎
最新发布
02-25
`run.py`通常会初始化Tornado应用,设置路由,连接数据库,加载索引等。这个脚本将启动Web服务器,并在指定端口上监听用户请求。 **搜索引擎架构** 一个基于Tornado的学术搜索引擎通常会包含以下几个关键组件: 1...
python系统后台管理,本应用是基于tornado框架 restful风格的API 实现后台管理
04-20
在本应用中,使用了Tornado框架来构建RESTful风格的API,这为后台管理提供了一种高效、灵活的方法。让我们深入探讨这些知识点。 首先,Python是一种广泛应用于后端开发的高级编程语言,其简洁的语法和丰富的库使其...
tornado-async.zip
06-08
这个"tornado-async.zip"项目很可能包含了一个完整的示例,演示如何在Tornado应用中集成aiomysql和aioredis,实现高效的数据库和缓存操作。可能的代码结构会包括设置IOLoop、创建数据库连接池、定义异步处理函数、...
tornado新版
08-19
11. **集成其他库**:Tornado的异步特性使其能很好地与其他非阻塞库(如数据库驱动)结合,实现高性能的全栈应用。 12. **版本更新**:"tornado-2.3"可能是Tornado的一个旧版本,随着新版本的发布,可能引入了新的...
tornado.pdf
09-12
8. **与其他服务的集成**:Tornado提供了与数据库、消息队列等其他服务的集成接口,方便开发者扩展应用功能。 9. **工具集**:Tornado还包含了一系列实用工具,如模板引擎、日志系统、会话管理等,为开发者提供便利...
python -- Tornado(详解)、sqlalchemy(详解)
weixin_44634704的博客
04-10 1814
安装依赖 pip install tornado==4.5 -i https://pypi.doubanio.com/simple 输出一份 Hello Word(这是信仰) from tornado.web import Application from tornado.ioloop import IOLoop # 循环模型对象(事件循环) from tornado.web import RequestHandler # 和django中的request一样(请求对象) 里面封装了常用的请求方法G
Python tornado 数据库操作方法
幸福阿拉丁
10-25 3030
一、数据库初始化 1、创建连接 connect.py from sqlalchemy import create_engine HOSTNAME = '127.0.0.1' PORT = '3306' DATABASE = 'mydb' USERNAME = 'admin' PASSWORD = 'Root110qwe' db_url = 'mysql+pymysql://{}:{}@
tornado和sqlalchemy结合使用
小岁月太着急
07-17 6706
sqlalchemy 和 tornado的结合 sqlalchemy 是python系用的最多的orm,我们的项目也选用了sqlalchemy 。在结合sqlalchemy 和tornado过程中,查阅了大量资料。 sqlalchemy 执行各种操作时,最基本的单元为session。sqlalchemy 官方文档建议,尽量适用框架的第三方扩展包来集成sqlalchemy,可以自动的管理se
tornado· 数据库连接池及定义自己的api返回json
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
08-01 1413
#!/usr/bin/env python #_*_ coding:utf-8_*_ import tornado.ioloop import tornado.web import tornado.escape import pymssql,pymysql from DBUtils.PooledDB import PooledDB class Database: def __ini...
Python3下使用tornado和SQLAlchemy实现一个简单的MVC网站
xuzhigang_China的专栏
10-22 9528
本文讲述了在Python3下如何使用tornado
python tornado sqlalchemy创建数据库
王飞的博客
07-15 855
from sqlalchemy.engine import create_engine conn_url = 'mysql://root:mysql@127.0.0.1:3306/wangfei4?charset=utf8' engine = create_engine(conn_url, encoding='utf-8', echo=True) # 声明orm基类(这个基类的子类会自动和数据库...
tornado实现高性能无阻塞udp通信(1)——server端实现
hmaimi的专栏
01-29 6007
在高性能web架构中,往往需要在多个组件之间进行通信
一个tornado项目的大体结构
热门推荐
一名普通码农的菜地
11-03 1万+
主要结构下面进行解释。App目录职责app用于存放程序需要运行的逻辑。 如下: common里面是通用的函数及方法。 business用于存放业务逻辑 dal专门用于数据库读写 db是数据库操作辅助类 modules用于存放tornado的handler,即页面控制器。 viewhelper是用于页面的一些辅助方法,譬如,页面上面需要裁剪字符串,需要获取通用页脚的文章数据,需要获取
Tornado框架官方文档:Python异步网络库与Web框架
- **与其他服务的集成**:介绍如何将 Tornado 与其他服务(如数据库、缓存系统)结合。 - **工具**:列举了一些 Tornado 提供的实用工具函数和类。 - **常见问题**:解答了用户在使用 Tornado 过程中可能遇到的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值