如何使用SQLAlchemy库写出防SQL注入的Raw SQL

最新推荐文章于 2024-09-13 13:05:21 发布
最新推荐文章于 2024-09-13 13:05:21 发布
阅读量1w 收藏 1
点赞数 1
分类专栏: Database Python 文章标签: python sqlalchemy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slvher/article/details/47154363
版权
本文介绍了如何使用SQLAlchemy库执行带有参数绑定的Raw SQL,以防止SQL注入攻击。通过示例展示了在insert和select操作中如何使用text对象和参数绑定,确保SQL安全性。同时强调了SQLAlchemy的connection pool特性和推荐的数据库实例管理方式。
摘要由CSDN通过智能技术生成

Python阵营有很多操作数据库的开源库(安装pip后,可以借助”pip search mysql”查看可用的库列表),其中被使用最多的无疑是MySQLdb,这个库简单易上手。其偏底层的特性为开发者提供灵活性的同时,也对不少新手写出的DB操作代码提出了考验,因为它只支持raw sql,容易导致sql注入攻击。

鉴于此,很多库提供了ORM接口能力,借助OO思想,数据库中的表被映射为Python的类,类的对象代表数据表中的一行记录,所有的DB操作都通过对象方法调用来实现,这些调用在底层被自动转换成SQL语句,在转换过程中,通常会采用parameter bind的方式保证生成的parameterized SQL不存在被注入的风险

SQLAlchemy就是这样一个具备ORM能力的DB操作Python库,此外,该库还支持开发者执行raw sql,并通过其提供的text对象实现params binding,从而防护SQL注入风险。

备注1:PHP中的DB操作库(如PDO或MySQLi)支持的prepare/bind_param接口也是业界推荐的预防sql injection的方法,而escape_string只能对单/双引号等特殊字符做简单的替换,它并不能保证防御所有的危险字符。

备注2:SQLAlchemy的官方文档比较多,其架构细节可以参考SQLAlchemy at Architecture of Open Source Applications这篇文章,相信对初学者有不小的帮助。

下面的代码示例用来说明如何借助SQLAlchemy的parameters bind能力来写出能防止sql注入的raw sql。

前提假设

假设我们实现了一个简单的sqlalchemy封装类(dbutil.py),代码如下:

最低0.47元/天 解锁文章
slvher
关注
专栏目录
sqlalchemysql注入
weixin_30314631的博客
07-18 839
银行对安全性要求高,其中包括基本的mysql注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 where in 的sql注入:(in 的内容一定要是tuple类型,否则查询结果不对) in_str = tuple(input_list)sql = "(SELECT coun...
sqlalchemyraw sql 方式使用示例
derek881122的博客
05-21 516
#获取数据 from sqlalchemy import create_engine db = create_engine("sqlite:///:memory:", echo=True) #创建表 db.execute(""" create table users( userid char(10), usern...
SQLAlchemy Text
最新发布
Flask Web
09-13 390
这本书通过一个完整的项目开发案例,系统介绍了在统信UOS操作系统上进行Flask Web应用开发的过程。使用Text类型时,请确保你了解数据对文本字段的处理方式,以及可能的性能影响。因此,在设计数据模型时,请考虑你的应用需求,并选择最适合你的数据类型。与String类型不同,Text类型不需要指定长度,因为它可以存储任意长度的文本数据。当你需要存储大量的文本信息时,比如文章内容、用户评论等,Text类型是一个很好的选择。当你需要存储长文本时,Text类型是一个很好的选择,因为它不会限制文本的长度。
SQLAlchemy中execute注入写法
a11131ghj的博客
08-25 3465
sql = "SELECT batch,start_time,end_time " \ "from repair_order_table " \ "WHERE batch = (" \ "SELECT batch FROM repair_order_table WHERE line=:line ORDER BY start_time DESC LIMIT 1") and line=:line;" batch_res = db.session.execute(sql,
mysqldb,sqlalchemy和flask-sqlalchemy执行raw sql时如何防止sql注入
weixin_34362875的博客
11-28 761
mysqldb c=db.cursor() max_price=5 c.execute("""SELECT spam, eggs, sausage FROM breakfast WHERE price < %s""", [max_price]) sqlalchemy from sqlalchemy.sql imp...
sqlalchemy 执行原生sql语句
anzhang5248的博客
10-02 3427
1、方式一 # 查询 cursor = session.execute('select * from users') result = cursor.fetchall() # 添加 cursor = session.execute('insert into users(name) values(:value)', params={"value": 'abc'}) se...
SQLAlchemy(2.0)完全入门
Cycloctane的博客
10-12 5623
如果我们需要的数据表在原数据中不存在,而我们需要新建一个,则可以选择通过继承Table类作为表。表中的列通过在Table中传入Column实例即可定义。同时也要注意表对象是需要基于Metadata的,因此我们也需要一个metadata实例并将这个表对象注册到其中,随后这个表就可以由metadata实例借助engine在原数据中新建了。metadata,Column("id", Integer, primary_key=True), # 使用Integer类构建int数据类型。
如何使用ORM框架避免SQL注入
# 章节一:理解SQL注入 ## 1.1 什么是SQL注入 SQL注入是一种利用应用程序对用户输入数据的处理不当而构造恶意的SQL查询的攻击方式。攻击者可以通过在用户输入的数据中插入恶意的SQL代码来欺骗应用程序执行意外的...
SQLAlchemy如何执行原生SQL
03-24
SQLAlchemy中,可以使用text()函数来执行原生SQL语句,例如: ``` from sqlalchemy import create_engine from sqlalchemy.sql import text # create engine engine = create_engine("mysql+pymysql://username:...
sqlalchemy基本使用
(-_-)
03-06 360
使用python向数据插入数据时候,写原生sql是很痛苦的。。。 使用sqlalchemy, 一能兼容多种数据,二来insert很简单。 create_table.py from sqlalchemy import create_engine from sqlalchemy import Table, Column, Integer, String, MetaData, ForeignKey...
python sql注入如何预_Python中该怎么防止SQL注入
weixin_39554434的博客
02-19 476
SQL注入SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之数据层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。----维基百科简而言之,sql注入是指在http通信中, 将sql语句伪装成参数传入服务器,服务器如果没有范则会执行恶意...
什么叫做SQL注入式攻击?如何范?
爱橙子的OK绷的专栏
11-10 747
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。SQL注入式攻击闯入:只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。 过滤输入内容可以按多种方式进行。
使用 sqlalchemy
被遗忘的遐想空间
07-05 750
使用 sqlalchemy 有3种方式: 方式1, 使用raw sql;  方式2, 使用SqlAlchemysql expression;  方式3, 使用ORM.   前两种方式可以统称为 core 方式. 本文讲解 core 方式访问数据, 不涉及 ORM.  对于绝大多数应用, 推荐使用 SqlAlchemy. 即使是使用raw sql, SqlAlchemy 也可以带来
python使用SQLAlchemy进行mysql的ORM操作
Lucas在澳洲
06-01 310
现在很多的企业进行后端开发时,程序员在分析完业务后,会使用Java的SpringBoot或者Python的Django、Flask等网络框架进行项目开发。在这些网络框架业务逻辑代码编写的过程中,很大概率会需要使用MySQL数据,但是原生的SQL语句又存在被SQL注入的风险,而且在复杂的查询时,SQL语句也会变的复杂,可读性随之降低。这种概念是对象与关系式数据的一种映射,简单的来说就是使用类(class)来进行一个数据的映射。类名可以是表名,而类内部的属性就是数据中的字段。
[Golang实战] gorm中使用Raw()和 Exec() 两种方式操作sql原生语句的特点和区别
Jing_Hua
07-08 8431
当我在gorm中使用原生sql操作数据时,时常用raw() 和 exec() ,有时候经常遇到数据插不进去或者 数据帮i当不到结构体,原来是 这两个方法有不同的用处和特点。
Python】精通 SQLAlchemy:执行原生 SQL 语句的艺术
哈哈哈哈哈哈哈
04-14 2153
欢迎进入 SQLAlchemy 的世界,一个强大的 Python SQL 工具包和对象关系映射(ORM)系统。在本篇博客中,我们将深入探讨如何在 SQLAlchemy 中执行原生 SQL 语句,无论是出于性能考虑还是为了执行复杂的查询和操作,直接使用 SQL 语句有时是必须的。我们将一步一步地了解如何利用 SQLAlchemy 来执行原生 SQL,让你能够更加灵活地与你的数据进行交互。通过上述方法,你可以在 SQLAlchemy 中灵活地执行任何原生 SQL 语句。
flasky-sqlalchemy数据
zengtaizhu的博客
04-07 438
1.如何实现SQLAlchemy的升序降序查询? 源码:asc = public_factory(UnaryExpression._create_asc, ".expression.asc")     desc = public_factory(UnaryExpression._create_desc, ".expression.desc") 例子: SQL语句:select * from
flask mysql sql注入_(五)Flask与SQLAlchemy的集成和简单使用
weixin_35867508的博客
02-23 721
tips:本文主要介绍Flask与SqlAlchemy的集成和简单使用本文基于python3编写前言在实际的生产中,往往都需要数据来做数据存储以及信息交互。本文选用SQLAlchemy作为orm工具,可以减少sql代码编写以及防止sql注入的风险的存在。本文使用免费的mysql数据。Flask与SQLAlchemy结合1、安装flask-sqlalchemy pip install f...
Pandas使用SQLAlchemy读写数据及URL中特殊字符转义编码
肖永威的专栏
06-16 5070
使用pandas直接对数据进行增删改查是很方便的,这里简单的总结pandas.read_sql()和pandas.DataFrame.to_sql()使用,以及遇到的问题。
Flask-SQLAlchemy 怎么防止sql 注入 写一个例子给我
03-22
使用 Flask-SQLAlchemy 时,可以使用参数化查询来防止 SQL 注入攻击。下面是一个使用参数化查询的 Flask-SQLAlchemy 代码示例: ```python from flask import Flask from flask_sqlalchemy import SQLAlchemy app = Flask(__name__) app.config['SQLALCHEMY_DATABASE_URI'] = 'sqlite:///example.db' db = SQLAlchemy(app) class User(db.Model): id = db.Column(db.Integer, primary_key=True) username = db.Column(db.String(80), unique=True, nullable=False) password = db.Column(db.String(80), nullable=False) @app.route('/login') def login(): username = request.args.get('username') password = request.args.get('password') user = User.query.filter_by(username=username, password=password).first() if user: return 'Login success' else: return 'Login failed' if __name__ == '__main__': app.run() ``` 在上面的代码中,我们使用了参数化查询来防止 SQL 注入攻击。在查询中,我们使用了 `filter_by` 方法来过滤用户名和密码,这个方法会自动进行参数化查询,从而防止 SQL 注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值