sql防注入

最新推荐文章于 2024-10-12 23:53:21 发布
最新推荐文章于 2024-10-12 23:53:21 发布
阅读量78 收藏
点赞数
分类专栏: 笔记 文章标签: sql mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50300933/article/details/120256776
版权 
from pymysql import connect

conn = connect(host='127.0.0.1',port=3306,database='test',user='root',password='mysql',charset='utf8')
cs1 = conn.cursor()
while True:
	# student = input('student=:')
	student = [input('student=:')]
	# sql_1 = """select * from students where name='%s'"""%student
	sql_2 = """select * from students where name=%s"""
	# print(f'------------>{sql_1}<----------------')
	print(f'------------>{sql_2}<----------------')

	try:
		# cs1.execute(sql_1)
		cs1.execute(sql_2,student)
	except Exception as ret:
		print('错误')
	else:
		print(cs1.fetchall())
		print(student)

cs1.close()
conn.close()

# 使用sql_1时
# 输入 ' or 1=1 or '1  时,sql语句变成 select * from students where name='' or 1=1 or '1'
# 此时 相当于查询整个数据库了 ===>sql注入

# 使用sql_2时
# 即将要查询的名保存在列表中,是excute(sql_1,student) 使
# 该列表里的值填充sql语句,不会出现以上情况 ====>sql防注入

归琳
关注
专栏目录
php SQL注入代码集合
10-30
在讨论PHP SQL注入代码集之前,我们需要了解什么是SQL注入以及它对Web应用安全的危害。SQL注入是一种常见的网络攻击技术,攻击者通过在Web表单输入或在URL中插入恶意SQL代码片段,试图对数据库进行未授权的查询或...
简单了解Mybatis如何实现SQL注入
08-25
Mybatis实现SQL注入 Mybatis是当前流行的持久层框架之一,广泛应用于各种Java项目中。然而,在使用Mybatis时,开发者经常会遇到SQL注入问题,这是由于Mybatis使用了$和#两个不同的占位符来SQL注入。今天,...
SQL.rar_SQL注入
09-24
本压缩包“SQL.rar”提供的“SQL注入”系统,旨在帮助Web开发者范此类攻击。 核心文件“Neeao_SqlIn.Asp”是这个注入系统的实现部分。它可能包含了一系列的函数或过程,用于检测和过滤用户输入的SQL查询,...
SQL注入.rar
04-05
针对这一问题,我们需要深入理解SQL注入的概念、机制以及范策略。 SQL注入的原理是,当用户通过表单、URL参数等方式提交数据到服务器时,这些数据未经处理直接拼接到SQL查询语句中。例如,一个简单的登录系统...
易语言SQL注入
07-18
"易语言SQL注入"针对的就是这一问题,旨在保护数据库免受恶意输入的影响。易语言,作为一款国内广泛使用的编程语言,提供了丰富的功能来帮助开发者构建安全的应用程序。下面,我们将深入探讨SQL注入的原理、危害...
SQL学习笔记】
weixin_45653183的博客
10-08 1419
若别名中存在空格,需要使用引号如:AS姓名, FROM XXX;SELECT name 姓名, FROM XXX;SELECT name AS '姓 名', FROM XXX;使用DISTINCT关键字删除重行如:SELECTDISTINCT不能使用DISTINCT多列排除重复如:SELECTDISTINCT以上语句表名name,idcard组合无重复,不能保证单列无重复创建成功后,若使用Navicat工具,函数一栏中会出现存储过程名。
mysql学习教程,从入门到精通,SQL 约束(Constraints)(41)
qq_45746668的博客
10-12 527
数据库设计中,约束(Constraints)用于确保数据的准确性和完整性。它们通过限制可以插入到数据库表中的数据类型来止无效数据。SQL 中有几种常见的约束类型,包括主键约束(Primary Key)、外键约束(Foreign Key)、唯一约束(Unique)、非空约束(NOT NULL)和检查约束(CHECK)。
《Linux运维总结:基于Ubuntu 22.04+x86_64架构CPU源码部署单机版PostgreSQL 10.23》
东城绝神
10-11 499
《Linux运维总结:基于Ubuntu 22.04+x86_64架构CPU源码部署单机版PostgreSQL 10.23》
PostgreSQL:json数据处理
m0_72560900的博客
10-11 346
在 PostgreSQL 中,处理 JSON 数据的功能非常强大,尤其是针对嵌套的 JSON 结构和 JSON 数组的查询。以下是一些处理 JSON 数据的常见操作和具体的案例,主要展示如何从 JSON 和 JSON 数组中获取指定 key 的值。
如何在 Jupyter Notebook 执行和学习 SQL 语句(中)
最新发布
qq_44117805的博客
10-12 153
【代码】如何在 Jupyter Notebook 执行和学习 SQL 语句(中)
SQL分类中的DCL
weixin_64689713的博客
10-12 194
DCL(Data Control Language):数据控制语言,用来创建数据库用户、控制数据库的访问权限DCL主要包含两方面的操作,
SQL】深入探索SQL调优:提升数据库性能的全面指南
人生苦短,睡觉要紧,睡醒再说
10-09 1402
在本文中,我们深入探讨了SQL调优的重要性及其在提升数据库性能中的关键角色。从理解执行计划到选择合适的索引,每一个细节都能显著影响应用程序的响应速度和处理能力。我们强调了基本的优化原则,如避免使用SELECT *、合理使用JOIN,以及定期更新统计信息。同时,数据库配置和硬件优化也不可忽视,它们直接关系到系统的整体性能。通过采用这些策略和技术,开发者和数据库管理员能够有效提高数据库的效率,确保系统在高负载下依然稳定运行。
【PostgreSQL】运维篇——PostgreSQL 的容量规划与监控
thinking_chou的专栏
10-09 708
通过分析当前的数据库使用情况、预测未来的增长,并使用合适的监控工具,可以有效地管理数据库资源,及时发现和解决潜在问题。定期评估和调整容量规划与监控策略,可以应对不断变化的业务需求和技术环境。
Spring Data JPA
m0_73837751的博客
10-06 777
这个接口的定义是在数据持久层(DAO 层,Repository 层),主要用于自定义一些查询方法(这是这个接口最主要的作用)。接口内部可以通过命名规则定义自定义查询方法,以便在业务逻辑层调用。(1.3中的方法命名规则)。在 Spring Data JPA 中,你可以通过继承 CrudRepository或 JpaRepository接口来定义Repository,用于处理特定实体的 CRUD 操作。Spring 会自动生成这些接口中的方法实现。:这是最基本的接口,提供基本的增删改查操作,如save()
手写mybatis之SQL执行器的定义和实现
CSDN_LiMingfly的博客
10-08 853
所有系统的设计和实现,核心都在于如何解耦,如果解耦不清晰最后直接导致的就是再继续迭代功能时,会让整个系统的实现越来越臃肿,稳定性越来越差。而关于解耦的实践在各类框架的源码中都有非常不错的设计实现,所以阅读这部分源码,就是在吸收成功的经验。把解耦的思想逐步运用到实际的业务开发中,才会让我们写出更加优秀的代码结构。设计。
如何在 SQL 中插入一条新记录 ?
程序员学习园地。
10-06 397
在日常的软件开发过程中,我们经常需要与数据库进行交互,其中一项常见的操作就是向数据库表中插入新的数据。SQL 语言提供了语句来实现这个功能。下面我会以通俗易懂的方式介绍如何使用这条命令,并提供一些实际开发中的建议和注意事项。
一文介绍SQL标准1986~2023的演变
云原生智能数据管理平台
10-11 654
SQL标准1986年制定第一版,到最新的2023版,已经有38年的历史,现在依然是计算机非常活跃的语言,50%的程序员都能掌握SQL,数据分析师也是SQL的主要使用人员之一。从早期的基本语法,到融合了XML、JSON等复杂数据类型,存储过程标准,元数据标准等等等,SQL语言规范发生巨大的变化,。
Postgresql JSON操作符
龙小胖的博客
10-12 386
【代码】Postgresql JSON操作符。
Mybatis Plus 查看组装的SQL条件的办法
chengmin123456789的博客
10-12 102
但是这个开启后日志内容太多,查找与定位较为麻烦。1、日志配置为 trace模式开启数据库语句打印。比喻:在logback.xml里配置。2、直接在需要调试的地方log日志。
ASP.NET SQL注入安全编码实践
本文主要关注.NET (C#) 中SQL Server的注入措施。 首先,`JK1986_CheckSql`函数是一个示例方法,用于检查用户输入是否包含已知的SQL关键字或特殊字符。函数内定义了一个字符串`jk1986_sql`,其中包含了大量可能被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值