python pymysql 安全查询,防注入

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量498 收藏
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012902518/article/details/106131177
版权

性能第二,安全第一

尽量不要使用字符串拼接调用方式,或者能保证数据安全(提前做好验证处理)的时候可以使用拼接

基本点:存入数据库的字符串做转义,将标点和特殊符号全换成html实体,例如,

<转换为&lt;    >转换为&gt;

在必要的时候反向转换或不转换

1,参数化语句防止注入

sql = "select user,pwd,sex,birthday,add_time,group from User where user='%s' and pwd='%s'" 
dbre = cursor.execute(sql,(name,pwd))

2,调用存储过程

delimiter \\
DROP PROCEDURE IF EXISTS proc_sql \\
CREATE PROCEDURE proc_sql (
  in nid1 INT,
  in nid2 INT,
  in callsql VARCHAR(255)
  )
BEGIN
  set @nid1 = nid1;
  set @nid2 = nid2;
  set @callsql = callsql;
    PREPARE myprod FROM @callsql;
--   PREPARE prod FROM 'select * from tb2 where nid>? and nid<?';  传入的值为字符串,?为占位符
--   用@p1,和@p2填充占位符
    EXECUTE myprod USING @nid1,@nid2;
  DEALLOCATE prepare myprod;
 
END\\
delimiter ;
以上为定义存储过程,为摘抄
sql="select * from User where nid>? and nid<?"
cursor.callproc('proc_sql', args=(11, 15, mysql))

 

依照我的习惯,第一种使用的比较多

skylanwang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pymysql如何解决sql注入问题深入讲解
09-09
主要给大家介绍了关于pymysql如何解决sql注入问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考价值,需要的朋友们下面随着小编来一起学习学习吧
python mysql参数化查询sql注入
weixin_30685047的博客
11-02 952
一、写法 cursor.execute('insert into user (name,password) value (?,?)',(name,password))   或者 cursor.execute('insert into user (name,password) value (%s,%s)',(name,password))   %s与?都可以作为sql语句的占...
Python从入门到进阶】56、Mysql止SQL注入及ORM库简化操作
最新发布
程序猿之洞
06-01 737
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
python mysql注入_Python止sql注入的方法详解
weixin_28893597的博客
02-09 704
前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)注入的各种方法都有,Python的方法其实类似,这里我就举例来...
pythonpymysql交互 止sql注入
erfan_lang的博客
09-28 889
目录什么是SQL注入?如何止SQL注入?参数化sql语句,%s作占位 什么是SQL注入? 用户提交带有恶意的数与SQL语句进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。 如何止SQL注入? SQL语句参数化 SQL语言中的参数使用%s来占位,此处不是python中的字符串格式化操作 将SQL语句中%s占位所需要的参数存在一个列表中,把参数列表传递给execute()方法中第二个参数 #游标 cursor = conn.cursor(pymysql.cursors.DictCu
python在使用pymysql写sql如何规避sql注入
春天的波菜
05-31 592
import pymysql conn = pymysql.connect(host="127.0.0.1",port=3306,user='root',password='123', database='pooldb',charset='utf8') cursor = conn.cursor() # 重点 sql= ' "select * from td where id=%s", [5, ] ' cursor.execute(sql) result = cursor.fetchal...
python使用mysql,止SQL注入
帅的飞起的博客
04-24 773
python使用mysql止SQL注入
Python使用MySQL数据库方法及SQL注入
m0_47670683的博客
02-23 2185
安装pymysql模块 python操作mysql需要安装pymysql模块: pip install pymysql 连接数据库 建议使用with这种方式,有两条好处:一是可以不用另外写close语句关闭连接,二是在异常退出时也能保证关闭连接。 题外话,python非常强调简洁和一致性,文件打开、关闭;socket连接、关闭;mysql连接、关闭等等都建议使用with。 import pymysql with pymysql.connect(host='mysql的ip', user='你的用户名',
Pythonpymysql的使用小结
01-01
python3.x中,可以使用pymysql来MySQL数据库的连接,并实现数据库的各种操作,本次博客主要介绍了pymysql的安装和使用方法。  PyMySQL的安装 一、.windows上的安装方法: 在python3.6中,自带pip3,所以在python3...
Pythonpymysql 模块的使用详解
09-09
总结,pymysqlPython与MySQL数据库交互的重要工具,提供安全、高效的SQL执行方式。在使用过程中,应避免字符串拼接构建SQL以SQL注入,同时记住在进行数据修改操作后要调用`commit()`方法提交事务。通过掌握这些...
Python3连接MySQL(pymysql)模拟转账实现代码
09-10
Python3中,通过pymysql库可以方便地与MySQL数据库进行交互。... 首先,我们需要导入必要的模块,如`sys`用于系统相关操作,`...同时,为了提高性能和安全性,SQL语句可以优化,例如使用参数化查询止SQL注入攻击。
Python3数据库操作包pymysql的操作方法
09-20
Python3中的pymysql是一个用于连接MySQL数据库的第三方库,它提供了类似于Python DB-API的接口,使得开发者能够方便地进行数据库操作。在本文中,我们将详细探讨pymysql的使用方法,包括如何连接数据库、执行SQL语句...
Python自学笔记】pymysql的增删改(止sql注入
XiaoqiangClub的博客
03-02 248
文章目录增删改pymysql止sql注入 增删改 了解 事务 的概念 使用正常的 SQL语句 进行增删改,但是最后需要多执行一步 在 pymysql 增删改的时候会用到两个很重要的方法:commit() rollback() commit() 简单的理解就是确认我们前面的增删改操作;而 rollback() 则是表示我们后悔了,想要回滚操作。 pymysql止sql注入 以上内容...
mysql注入 博客园_PyMySQL止SQL注入
weixin_42519489的博客
02-05 214
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字符串拼接查询,造成注入import pymysqlconn =...
python sql注入如何止_PyMySQL如何止用户遭受sql注入攻击?
weixin_30260621的博客
01-28 309
Python驱动程序不使用实际的查询参数。在python中,参数(示例中的变量attack)在将SQL发送到数据库服务器之前被插入到SQL字符串中。在这与使用查询参数不同。在真正的参数化查询中,SQL字符串被发送到数据库服务器,参数占位符保持不变。在但是Python驱动程序确实在插值时正确地避开了参数,这可以止SQL注入。在我可以在打开查询日志时证明:mysql> SET GLOBAL g...
python检测MySQL的DDL语句正确性
qq_29848559的博客
09-20 2047
1.Inception库 Inception是一个开源系统,每个人或者每个公司都可以自由使用, 可以用于审核SQL语句的合法性。 Inception使用说明:https://inception-document.readthedocs.io/zh_CN/latest/ /*--user={username};--password={password};--host={host};--check=1;--port={port};*/ inception_magic_start; ...
pymysql 过滤sql注入
hllyzms的博客
09-10 713
传参注入 import pymysql user = input("username:") pwd = input("password:") conn = pymysql.connect(host="localhost",user='root',password='',database="db1") cursor = conn.cursor() sql = "select *...
python-pymysql止sql注入攻击介绍
weixin_30593261的博客
09-02 958
目录 pymysql sql 注入攻击 调用存储过程 pymysql pymysql 是一个第三方模块,帮我们封装了 建立表/用户认证/sql的执行/结果的获取 import pymysql # 步骤 ''' 1. 连接服务端 2. 用户认证 3. 发送...
Python 与 MySQL 进行增删改查的操作以及止SQL注入
LoadingCreate的博客
06-03 1048
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
python pymysql 查询 in
03-25
可以使用如下代码进行 pymysql 中的 in 查询: ``` import pymysql # 打开数据库连接 db = pymysql.connect("localhost", "root", "password", "test") # 使用 cursor() 方法创建一个游标对象 cursor cursor = db.cursor() # SQL 查询语句 sql = "SELECT * FROM table_name WHERE field_name IN (%s, %s, %s)" # 要查询的参数列表 params = ['value1', 'value2', 'value3'] # 执行查询 cursor.execute(sql, params) # 获取查询结果 results = cursor.fetchall() # 关闭游标和数据库连接 cursor.close() db.close() ``` 其中,`table_name` 是要进行查询的表名,`field_name` 是要查询的字段名,`value1`、`value2`、`value3` 是要查询的值,这里使用了参数列表的方式进行查询,避免了 SQL 注入的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值