mysql--mysql与python的交互--防止sql 注入

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量226 收藏
点赞数
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sundanping_123/article/details/94378352
版权

在这里插入图片描述
在这里插入图片描述
如何防止?构建参数

新增功能5:根据商品名字查询商品信息

这里如果不使用 防止sql 注入,就会有可能被用户查询出所有的商品信息,这里我们使用构建参数(防sql注入)来实现这一功能

from pymysql import connect

class JD(object):
    def __init__(self):
        # 创建连接
        self.conn = connect(host='localhost', port=3306, user='root', database='jingdong', charset='utf8')
        # 获得cursor 对象
        self.cursor = self.conn.cursor()

    def __del__(self):
        # 关闭cursor 对象
        self.cursor.close()
        self.conn.close()

    def execute_sql(self, sql):
        self.cursor.execute(sql)
        for temp in self.cursor.fetchall():
            print(temp)

    def show_all_goods(self):
        '''显示所有的商品'''
        sql = 'select * from goods'
        self.execute_sql(sql)

    def show_good_cates(self):
        '''显示所有商品分类'''
        sql = 'select name from good_cates'
        self.execute_sql(sql)

    def show_brand_cates(self):
        '''显示所有商品品牌分类'''
        sql = 'select name from goods_brands'
        self.execute_sql(sql)

    def add_brand(self):
        '''增加商品品牌'''
        new_brand = input('请输入新的品牌名字:')
        sql = '''insert into goods_brands (name) values('%s')'''% new_brand  #引号里面嵌套引号的时候,可以用这种形式区分开
        self.cursor.execute(sql)
        self.conn.commit()

    def get_info_by_name(self):
        find_name = input('请输入想要查询的商品名字:')
        # sql = 'select * from goods where name = %s' % find_name    这是我们平常的写法
        # 防止sql注入
        sql = 'select * from goods where name=%s'
        self.cursor.execute(sql,[find_name])
        print(self.cursor.fetchall())

    @staticmethod
    def show_menus():
        print('------京东商城------')
        print('1: 查询所有商品')
        print('2: 查询所有商品分类')
        print('3: 查询所有的商品品牌分类')
        print('4: 添加一个商品分类')
        print('5: 根据名字查询商品信息')
        return input('请输入您所要执行的功能对应的序号:')


    def run(self):
        while True:
            num = self.show_menus()

            if num == '1':
                self.show_all_goods()
            elif num == '2':
                self.show_good_cates()
            elif num == '3':
                self.show_brand_cates()
            elif num == '4':
                self.add_brand()
            elif num == '5':
                self.get_info_by_name()
            else:
                print('输入有误,请重新输入:')

def main():
    # 创建一个京东对象
    jd = JD()

    # 调用这个对象的run方法,让其运行
    jd.run()

if __name__ == '__main__':
    main()
小哦--
关注
专栏目录
Python 数据库开发实战 - PythonMySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
MySQL8.0 及 SQL 注入
php_xml的博客
09-10 1166
2020年9月10日10:10:20 MySQLSQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中
pythonMySQL学习——防止SQL注入
weixin_34384557的博客
06-05 244
pythonMySQL学习——防止SQL注入 学习了:https://www.cnblogs.com/xiaomingzaixian/p/7126840.html https://www.cnblogs.com/sevck/p/6733702.html  mysql环境,目前通过了%s的测试,但是?还是不行哦;  ...
python mysql注入_Python防止sql注入的方法详解
weixin_28893597的博客
02-09 748
前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)注入的各种方法都有,Python的方法其实类似,这里我就举例来...
PYTHON操作MYSQL防止SQL注入
热门推荐
pi9nc的专栏
12-28 1万+
PYTHON操作MYSQL防止SQL注入 分类: MySQL2011-09-15 10:04 1024人阅读 评论(0) 收藏 举报 sqlpythonmysqlstringjavascriptquery 下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHONMYSQL,使用不了JAVA代码中提供的一
Python使用MySQL数据库方法及SQL注入
m0_47670683的博客
02-23 2349
安装pymysql模块 python操作mysql需要安装pymysql模块: pip install pymysql 连接数据库 建议使用with这种方式,有两条好处:一是可以不用另外写close语句关闭连接,二是在异常退出时也能保证关闭连接。 题外话,python非常强调简洁和一致性,文件打开、关闭;socket连接、关闭;mysql连接、关闭等等都建议使用with。 import pymysql with pymysql.connect(host='mysql的ip', user='你的用户名',
MySQL-python-1.2.3.win32-py2.7 MySQL-python-1.2.3.win-amd64-py2.7
03-08
- 使用参数化查询(预编译语句)防止SQL注入攻击。 - 定期更新MySQL数据库及其驱动,以获得最新的安全补丁。 8. **未来发展趋势**: - 虽然MySQL-pythonPython 2时代非常流行,但由于Python 2已退役,社区更...
mysql-connector-python-2.1.7.tar.gz
10-28
MySQL Connector/PythonMySQL数据库的一款Python适配器,它提供了Python程序员与MySQL数据库进行交互的能力。这个`mysql-connector-python-2.1.7.tar.gz`文件是一个压缩包,包含了MySQL Connector/Python 2.1.7...
mysql-shell-8.0.30-linux-glibc2.12-x86-64bit.tar.gz
08-17
MySQL Shell是MySQL数据库管理系统提供的一款强大的命令行工具,它集成了JavaScript、PythonSQL三种语言环境,为数据库管理员和开发者提供了交互式操作MySQL服务器、管理数据库对象以及执行复杂脚本的功能。...
python安装mysql-python简明笔记(ubuntu环境)
09-10
`mysql-python`的API设计简洁,使得它成为Python开发者与MySQL数据库交互的首选库之一。 总结来说,这篇文章提供了一种在Ubuntu环境下安装`mysql-python`库的详细步骤,包括解决可能遇到的依赖问题。了解如何正确...
基于pythonsql注入脚本
03-04
适合刚学pythonsql注入的人 import urllib2 import re
python使用mysql防止SQL注入
帅的飞起的博客
04-24 851
python使用mysql防止SQL注入
python 防止sql注入
weixin_45945976的博客
01-30 918
使用参数化查询可以将用户输入的数据与SQL语句进行分离,从而避免将用户输入内容作为SQL查询的一部分,从而防止SQL注入攻击。请注意,以上是三种常用的防止SQL注入的方法,但并不能保证绝对安全。在处理用户输入时,始终应该保持警惕,遵循最佳安全实践,进行输入验证和过滤。使用ORM框架可以直接操作数据库表对应的对象,ORM框架会自动执行参数化查询。3、使用数据库自带的转义函数:一些数据库提供了转义函数来处理特殊字符,将它们转换为安全字符。使用这些函数可以在执行SQL查询之前对用户输入进行转义。
pythonsql注入步骤_python 打造一个sql注入脚本 (一)
weixin_39809168的博客
11-30 539
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记:sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php当我们在网页执行访问了:http://127.0.0.1/sql.php?x=1在数据库其实是这样的$...
PythonMySQL 进行增删改查的操作以及防止SQL注入
LoadingCreate的博客
06-03 1114
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
sql注入python_Python--sql注入
weixin_39702799的博客
12-15 143
import pymysqlconn = pymysql.connect(host='211.149.218.16', user='jxz', password='123456', db='jxz', port=3306, charset='utf8')cur = conn.cursor(cursor=pymysql.cursors.DictCursor)name = 'zdq'sex = 0cu...
Python从入门到进阶】56、Mysql防止SQL注入及ORM库简化操作
最新发布
程序猿之洞
06-01 977
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
python番外篇--sql注入
aqovxg590751的博客
04-27 135
一、sql注入概念介绍 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 二、Python防止...
PythonMySQLpython交互防止sql注入
weixin_45365220的博客
10-11 383
python中使用MySQL的模块 import pymysql python中使用MySQL的基本流程 · python中使用MySQL的代码模板 from pymysql import * # 创建connection连接 conn = connect(host="localhost",port=3306,user="root",password="mysql",database="本地数据库名称", charset="utf8") # 获得cursor对象 cs = conn.cursor(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值