如何使用SQLAlchemy库写出防SQL注入的Raw SQL

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量1w 收藏 1
点赞数 1
分类专栏: Database Python 文章标签: python sqlalchemy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slvher/article/details/47154363
版权

Python阵营有很多操作数据库的开源库(安装pip后,可以借助”pip search mysql”查看可用的库列表),其中被使用最多的无疑是MySQLdb,这个库简单易上手。其偏底层的特性为开发者提供灵活性的同时,也对不少新手写出的DB操作代码提出了考验,因为它只支持raw sql,容易导致sql注入攻击。

鉴于此,很多库提供了ORM接口能力,借助OO思想,数据库中的表被映射为Python的类,类的对象代表数据表中的一行记录,所有的DB操作都通过对象方法调用来实现,这些调用在底层被自动转换成SQL语句,在转换过程中,通常会采用parameter bind的方式保证生成的parameterized SQL不存在被注入的风险

SQLAlchemy就是这样一个具备ORM能力的DB操作Python库,此外,该库还支持开发者执行raw sql,并通过其提供的text对象实现params binding,从而防护SQL注入风险。

备注1:PHP中的DB操作库(如PDO或MySQLi)支持的prepare/bind_param接口也是业界推荐的预防sql injection的方法,而escape_string只能对单/双引号等特殊字符做简单的替换,它并不能保证防御所有的危险字符。

备注2:SQLAlchemy的官方文档比较多,其架构细节可以参考SQLAlchemy at Architecture of Open Source Applications这篇文章,相信对初学者有不小的帮助。

下面的代码示例用来说明如何借助SQLAlchemy的parameters bind能力来写出能防止sql注入的raw sql。

前提假设

假设我们实现了一个简单的sqlalchemy封装类(dbutil.py),代码如下:

最低0.47元/天 解锁文章
slvher
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlalchemysql注入
weixin_30314631的博客
07-18 820
银行对安全性要求高,其中包括基本的mysql注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 where in 的sql注入:(in 的内容一定要是tuple类型,否则查询结果不对) in_str = tuple(input_list)sql = "(SELECT coun...
sqlalchemyraw sql 方式使用示例
derek881122的博客
05-21 493
#获取数据 from sqlalchemy import create_engine db = create_engine("sqlite:///:memory:", echo=True) #创建表 db.execute(""" create table users( userid char(10), usern...
Python从入门到进阶】56、Mysql防止SQL注入及ORM简化操作
最新发布
程序猿之洞
06-01 824
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM的主要目标是实现数据表与编程语言中的类之间的映射。在ORM中,数据表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
SQLAlchemy中execute注入写法
a11131ghj的博客
08-25 3311
sql = "SELECT batch,start_time,end_time " \ "from repair_order_table " \ "WHERE batch = (" \ "SELECT batch FROM repair_order_table WHERE line=:line ORDER BY start_time DESC LIMIT 1") and line=:line;" batch_res = db.session.execute(sql,
mysqldb,sqlalchemy和flask-sqlalchemy执行raw sql时如何防止sql注入
weixin_34362875的博客
11-28 745
mysqldb c=db.cursor() max_price=5 c.execute("""SELECT spam, eggs, sausage FROM breakfast WHERE price < %s""", [max_price]) sqlalchemy from sqlalchemy.sql imp...
sqlalchemy 执行原生sql语句
anzhang5248的博客
10-02 3381
1、方式一 # 查询 cursor = session.execute('select * from users') result = cursor.fetchall() # 添加 cursor = session.execute('insert into users(name) values(:value)', params={"value": 'abc'}) se...
Python防止sql注入的方法详解
09-21
防止SQL注入的最佳实践是多方面的,包括但不限于使用预编译SQL语句、采用ORM框架以及选择具有强大安全特性的第三方。此外,开发者还需要时刻关注输入数据的有效性和安全性,定期审查代码以确保不存在潜在的安全...
基于SQLAlchemy实现操作MySQL并执行原生sql语句
09-08
Python的Web开发中,SQLAlchemy是一个强大的ORM(对象关系映射),它允许开发者用Python对象的方式操作数据,而无需直接编写SQL语句。本篇将详细讲解如何使用SQLAlchemy来操作MySQL数据以及如何执行原生的...
SQL住入原始脚本_SQL注入python脚本_
10-03
标题中的“SQL住入原始脚本”指的是利用SQL注入技术来编写或执行的原始SQL命令,而“SQL注入python脚本”则表明我们将探讨如何使用Python编写脚本来自动化这一过程。 SQL注入攻击主要有三种类型:直列注入、延时...
sql to sqlalchemy 转换的小例子
12-15
SQLAlchemy中,它是Python的一个ORM(对象关系映射),用于操作SQL数据。它提供了高级的SQL构造和查询方式,使得开发者可以更方便地在Python代码中编写和执行SQL语句。在这个例子中,我们将看到如何将一个标准...
Python SQLAlchemy使用方法
12-16
SQLAlchemy的核心优势在于它能够将数据操作抽象化,使得开发人员可以使用Python代码而不是SQL语句来操作数据,提高了代码的可读性和可维护性。 SQLAlchemy提供了两种主要的使用模式:SQL表达式语言(SQLAlchemy ...
python sql注入如何预_Python中该怎么防止SQL注入
weixin_39554434的博客
02-19 436
SQL注入SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之数据层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。----维基百科简而言之,sql注入是指在http通信中, 将sql语句伪装成参数传入服务器,服务器如果没有范则会执行恶意...
什么叫做SQL注入式攻击?如何范?
爱橙子的OK绷的专栏
11-10 726
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。SQL注入式攻击闯入:只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。 过滤输入内容可以按多种方式进行。
使用 sqlalchemy
被遗忘的遐想空间
07-05 726
使用 sqlalchemy 有3种方式: 方式1, 使用raw sql;  方式2, 使用SqlAlchemysql expression;  方式3, 使用ORM.   前两种方式可以统称为 core 方式. 本文讲解 core 方式访问数据, 不涉及 ORM.  对于绝大多数应用, 推荐使用 SqlAlchemy. 即使是使用raw sql, SqlAlchemy 也可以带来
python使用SQLAlchemy进行mysql的ORM操作
LoadingCreate的博客
06-01 275
现在很多的企业进行后端开发时,程序员在分析完业务后,会使用Java的SpringBoot或者Python的Django、Flask等网络框架进行项目开发。在这些网络框架业务逻辑代码编写的过程中,很大概率会需要使用MySQL数据,但是原生的SQL语句又存在被SQL注入的风险,而且在复杂的查询时,SQL语句也会变的复杂,可读性随之降低。这种概念是对象与关系式数据的一种映射,简单的来说就是使用类(class)来进行一个数据的映射。类名可以是表名,而类内部的属性就是数据中的字段。
SQLAlchemy(2.0)完全入门
Cycloctane的博客
10-12 5043
如果我们需要的数据表在原数据中不存在,而我们需要新建一个,则可以选择通过继承Table类作为表。表中的列通过在Table中传入Column实例即可定义。同时也要注意表对象是需要基于Metadata的,因此我们也需要一个metadata实例并将这个表对象注册到其中,随后这个表就可以由metadata实例借助engine在原数据中新建了。metadata,Column("id", Integer, primary_key=True), # 使用Integer类构建int数据类型。
【Django】执行原生SQL查询、.raw()方法执行SQL查询
走在搬砖的路上!
02-16 3219
.raw()方法的使用: django中提供了一个raw()方法来使用sql语句进行查询 class Person(models.Model): first_name = models.CharField(max_length=50) last_name = models.CharField(max_length=50) birth_date = models.DateField(max_length=50) Person.objects.raw('SELECT...
[Golang实战] gorm中使用Raw()和 Exec() 两种方式操作sql原生语句的特点和区别
Jing_Hua
07-08 7296
当我在gorm中使用原生sql操作数据时,时常用raw() 和 exec() ,有时候经常遇到数据插不进去或者 数据帮i当不到结构体,原来是 这两个方法有不同的用处和特点。
mysqlsqlbean,使用RawSql通过ebean执行MySQL查询时出错
weixin_34475212的博客
01-28 225
In a Play! 2.x application, I'm trying to send a simple query to a MySQL server using ebean.My complete class looks as follows:public static List search(String query) {List matches = new ArrayList();t...
flasky-sqlalchemy数据
zengtaizhu的博客
04-07 420
1.如何实现SQLAlchemy的升序降序查询? 源码:asc = public_factory(UnaryExpression._create_asc, ".expression.asc")     desc = public_factory(UnaryExpression._create_desc, ".expression.desc") 例子: SQL语句:select * from
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值