【python代码审计】postgresSQL中sql注入

最新推荐文章于 2024-07-14 11:02:56 发布
最新推荐文章于 2024-07-14 11:02:56 发布
阅读量690 收藏 2
点赞数
分类专栏: python 安全测试 互联网测试 文章标签: python代码审计 sql注入 psycopg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013908944/article/details/103168496
版权

python使用pg数据sql注入分析

内容
审计python使用psycopg2库操作pg数据库中的sql注入
sql注入出现原因
总结有3个原因
1 对外接口中有不可信的数据输入
2 未对输入的数据进行安全性校验(白名单,转义等其他限制)
3 操作数据库时使用函数的方法不对
审计python代码
直接对查数据库拼接字符串和查询方法进行审计
tip1:对输入数据直接拼接后查询

def database():
    injectdata = "1"
    xcmd= "select * from user where id = " + injectdata #psycopg2库未对数据校验,传入什么参数,execute方法就会执行什么
    conn = psycopg2.connect(database="test", user="post", password=passwd, host=ip, port="5432")
    cur = conn.cursor()
    cur.execute(xcmd)
    res = cur.fetchall()
    conn.commit()
    conn.close()

拼接注入语法:
1 injectdata = “1 and 1=1” 或者 injectdata = “1 or id =2” #查询成功
2 injectdata = " 1’ or id =‘2’ " #查询报错(有安全校验)#log(psycopg2.ProgrammingError: unterminated quoted string at or near “’”
3 injectdata = ‘1;select user’ #查询成功,显示当前用户
4 injectdata = ‘1;select pg_sleep(5)’ #查询成功
说明:"select * from user where id = " + injectdata 这中直接拼接的代码写法对sql注入基本没有安全校验

tip2:对输入数据进行格式化后查询数据库

def database():
    injectdata = "1"
    xcmd= "select * from user where id = %s"%injectdata  #格式化处理
    conn = psycopg2.connect(database="test", user="post", password=passwd, host=ip, port="5432")
    cur = conn.cursor()
    cur.execute(xcmd)
    res = cur.fetchall()
    conn.commit()
    conn.close()

注入语法验证:
1 injectdata = “1 and 1=1” 或者 injectdata = “1 or id =2” #查询成功
2 injectdata = " 1’ " #查询报错(有安全校验)#log(psycopg2.ProgrammingError: unterminated quoted string at or near “’”
3 injectdata = ‘1;select version()’ #查询成功,有版本号返回
4 injectdata = ‘1;select pg_sleep(5)’ #基于时间盲注查询成功
说明:"select * from user where id = %s "%injectdata 这种格式化处理传入数据的写法与tip1中一样,未对数据进行安全性校验

tip3:对输入数据进行格式化后参数化的调用execute函数

def database():
    injectdata = "1"
    xcmd= "select * from user where id = %s"  #格式化处理
    conn = psycopg2.connect(database="test", user="post", password=passwd, host=ip, port="5432")
    cur = conn.cursor()
    cur.execute(xcmd,injectdata)   **#or [injectdata] or (injectdata) ,官网给出安全操作sql的调用方法,用传参数的方法调用。**
    res = cur.fetchall()
    conn.commit()
    conn.close()

注入语法:
1 injectdata = “1 and 1=1” 或者 injectdata = “1 or id =2” #报错TypeError: not all arguments converted during string formatting
2 injectdata = " 1’ " # 报错
3 injectdata = ‘1;select version()’ #报错
4 injectdata = ‘1;select pg_sleep(5)’ #报错

python 调用psycopg的sql注入防御方法:
psycopg2最直接最根本的解决方案是用官网提供的传参方式操作数据库。
#the correct conversion (no more SQL injections!) #正确使用(有sql注入防御)
官网地址:http://initd.org/psycopg/docs/usage.html#passing-parameters-to-sql-queries
官网psycopg2用户使用文档
说明:做python白盒代码审计时,重点看psycopg库的使用方法是否是传参调用的。

ps:本段代码只是为了验证python调用psycopg时sql的相关内容,在实际项目中一般看不到这么调用的,如果有这么写的安全问题还有很多(如:没有try,没有数据校验…)

弘毅密令
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PythonPython执行PostgreSQL数据库的SQL脚本
tttzzzqqq2018的博客
08-22 2630
【代码】Python执行SQL脚本。
Python模拟Postgres数据库连接
喝醉酒的小白
06-04 1520
它具有丰富的功能和灵活性,适用于各种规模和类型的Python应用程序,从简单的脚本到复杂的Web应用和数据分析项目。请注意,具体的方法和操作可能会根据所使用的 PostgreSQL 数据库驱动程序而有所不同,上述示例是一般的用法。:psycopg2支持PostgreSQL的扩展功能,可以与PostgreSQL的扩展模块一起使用,以提供更高级的功能和特性。:psycopg2提供了连接到PostgreSQL数据库的功能,您可以使用提供的连接参数来建立和管理数据库连接。您可以使用psycopg2的。
代码审计python代码审计汇总(持续更新
最新发布
黑战士的博客
07-14 919
的。
为什么preparedstatement能防止sql注入_使用Python防止SQL注入攻击的实现示例
weixin_39614704的博客
11-22 387
文章背景每隔几年,开放式Web应用程序安全项目就会对最关键的Web应用程序安全风险进行排名。自第一次报告以来,注入风险高居其位!在所有注入类型SQL注入是最常见的攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的那么在写这篇文章的时候我也是查询了国内外很多资料,最后带着问题去完善总结:什么是Python...
python SQL注入的解决办法
甘焕的博客
09-07 6138
APP爆出一个大Bug,只要在查询框内输入“%”,就会检索出所有的数据,最后有人给出了这样的解决方案,在前端进行验证,禁止用户输入“%”之类的特殊字符。
PostgreSQL数据库的注入
weixin_50464560的博客
08-02 741
PostgreSQL PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),4.2版本为基础的对象关系型数据库管理系统。 PostgreSQL安装后,默认的端口是:5432,默认的用户名是: postgres ,默认的数据库也是:postgres 。 注释符:– 延时函数:pg_sleep(3) PostgreSQL和MySQL一样,也有 information_schema 数据库。 PostgreSQL安装后默认是不允许其他主机连接的,如果要让其他主机连接,
使用Python防止SQL注入攻击的实现示例
09-16
鉴于Python在全球范围内广泛应用于Web开发及其他领域,掌握如何有效防止PythonSQL注入成为开发者必须具备的一项技能。 #### 一、理解Python SQL注入 **定义:** SQL注入攻击是指攻击者通过恶意输入数据来操纵...
Postgres数据库SQL注入手册1
08-08
Postgres数据库SQL注入手册1
postgressql-16.0.1 windows x64
10-08
16新特性: 1.权限管理 2.逻辑复制增强功能 3.性能提升:并行查询方面的性能提升,比如允许FULL和RIGHT JION在并行模式下执行,支持SIMD 4.全面的监控功能
IDEA连接postgressql数据库操作
09-07
3. 如果需要进行SQL查询,可以利用Spring的`JdbcTemplate`,在控制器类如`JdbcController.java`注入它: ```java package com.qingsong.mybatis_mysql.control; import org.springframework.beans.factory....
antlr_psql:适用于Postgres SQL v10的A​​NTLR v4语法(正在进行
01-28
开发是测试驱动的,测试是通过直接从源postgres存储库抓取sql命令生成的。 有关详细信息,请参见下面的脚本部分。 设定 该项目基于MacOs v.10.14构建,使用 Maven v.3.3.9 Python v.2.7.13 Java v.1.8.0_144 ...
Python-基于Inception一个审计执行回滚统计sql的开源系统
08-10
基于Inception,一个审计、执行、回滚、统计sql的开源系统
Postgresql 函数如何动态执行sql语句
热门推荐
一VII一 的博客
08-20 1万+
实现功能,根据传入id删除多张表的数据: CREATE or replace FUNCTION fn_delete ( p_deleteid INT ) RETURNS VARCHAR LANGUAGE 'plpgsql' AS $$ DECLARE sql1 VARCHAR ( 100 ); sql2 VARCHAR ( 100 ); sql3 VARCHAR ( 100 ); sql4...
postgre 执行execute参数为元组
leiting_imecas的博客
08-16 2653
sql = "select title,content,nid from newslist_v2 where nid in (%s)"conn, cursor = get_postgredb() cursor.execute(sql, [ads_str]) 报错:     psycopg2.DataError: invalid input syntax for integer: .......
【Jmeter】postgresql数据库多变量参数化
csdnzhulin的博客
09-27 418
【Jmeter】postgresql数据库多变量参数化 一、数据库驱动下载 1、下载数据库JAR文件,放在Jmeter安装路径下的lib文件夹 下载地址:https://jdbc.postgresql.org/download.html 二、Jmeter操作 1、配置数据库连接 2、添加数据库查询JDBC Request 3、通过调试取样器,可以看到查询数据的count条数 4、添加HTTP请求,添加循环控制器+计数器,实现参数化调用(相关请求、计数器要放在循环体下边) 1)多个变量,需要设
PostgreSQL的prepare 和 execute 动作背后
weixin_33919941的博客
06-19 395
我给PostgreSQL的源代码加入了调试信息以后,会有如下表现: 我执行Prepare: postgres=# prepare s(int) as select * from tst01 t where id < $1; PREPARE postgres=# 背后的反应: ** In PostgresMain In exec_simple_query loop...
代码审计的角度分析sql注入
果粒程
04-20 154
通常会把sql注入分为sql联合查询注⼊、sql堆叠注⼊、sql报错注⼊、sql时间盲注、sql布尔盲注、sql带外数据、sql注⼊执⾏命令等等,但是在这里我们要思考一个问题,那就是他们的共性是什么,也就是总结出一个sql注入的核心思维。所以,在连接数据库进⾏sql执⾏(执⾏就是⼀种对存储的解读)时,会按照字符集编码的规范去解读,所以遇到了\xDF\x5C的时候,会解读成⼀个字符,此时的数据流转过程为。我们刚才分析了预编译模式下的宽字节注⼊,我们可以发现预编译+绑定变量的效果,有点类似于做了两个步骤。
《OWASP代码审计》学习——SQL注入漏洞审计
PICACHU+++的博客
08-04 595
注入攻击允许恶意用户向应用程序添加或注入内容和命令,以修改其行为。这些类型的攻击是常见且广泛的,黑客很容易测试网站是否易受攻击,攻击者也很容易利用这些攻击。如今,它们在尚未更新的遗留应用程序非常常见。
pythonsql注入
love_parents的博客
09-10 3249
转载自: python SQL注入的解决办法 pythonsql注入 背景 APP爆出一个大Bug,只要在查询框内输入“%”,就会检索出所有的数据,最后有人给出了这样的解决方案,在前端进行验证,禁止用户输入“%”之类的特殊字符。 帅呆了!责任轻易地就甩给了前端! 我反问,如果百分号要进行禁止,那么“*&’“()”要不要进行禁止?“desc、select、from”等关键字要不要禁止?还有“+-”,正则表达式相关的符号要不要禁止?就算输入框禁止了,直接发送http请求又如何禁止?
postgressql的upgrade用法
06-02
在PostgreSQL,upgrade指的是将当前版本升级到最新版本。在升级过程,PostgreSQL会自动备份数据并进行升级操作,确保数据的完整性和一致性。升级过程可能需要一些时间,取决于当前版本和目标版本之间的差异。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值