PYTHON操作MYSQL时防止SQL注入

最新推荐文章于 2023-10-26 20:42:12 发布
最新推荐文章于 2023-10-26 20:42:12 发布
阅读量5.8k 收藏
点赞数
分类专栏: MySQL 文章标签: sql python mysql string javascript query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghai__/article/details/6777081
版权

下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHON和MYSQL,使用不了JAVA代码中提供的一些现成的方法,而且MYSQLDB模块中的EXECUTE方法不支持表名使用占位符。

execute(self,query, args=None)

Execute a query.

query -- string, query to execute on serverargs -- optional sequence or mapping, parameters to use with query.

Note: If args is a sequence, then %s must be used as theparameter placeholder in the query. If a mapping is used,%(key)s must be used as the placeholder.

Returns long integer rows affected, if any

Placeholders are supposed to be used for *values*, not other parts of the SQL statement. To insert table names, column names and stuff like that, use Python-level formatting.

cur.execute("select * from %s where name=%s",('t1','xx'))   --python-level formatting,执行失败

cur.execute("select * from %s where name=%s"%('t1','xx'))  --execute()-level formatting,执行成功,但是并没有达到防止SQL注入的效果

下面是文档上的一个例子

To perform a query, you first need a cursor, and then you can executequeries on it:

c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
          WHERE price < %s""", (max_price,))

In this example, max_price=5 Why, then, use%s in thestring? Because MySQLdb will convert it to a SQL literal value, whichis the string '5'. When it's finished, the query will actually say,"...WHERE price < 5".

无奈之下手工实现,需要两步:

1、把变量值中的单引号逃逸掉

2、给变量值两端加上单引号

#######################
应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。

虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:

以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统了。

所 以除非必要,一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句,因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作,必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类,您可以通过 jakarta commons lang 通用类包中(spring/lib/jakarta-commons/commons-lang.jar)的 StringEscapeUtils 完成这一工作:

清单 4. SqlEscapeExample 

package com.baobaotao.escape;
import org.apache.commons.lang.StringEscapeUtils;
public class SqlEscapeExample {
    public static void main(String[] args) {
        String userName = "1' or '1'='1";
        String password = "123456";
        userName = StringEscapeUtils.escapeSql(userName);
        password = StringEscapeUtils.escapeSql(password);
        String sql = "SELECT COUNT(userId) FROM t_user WHERE userName='"
            + userName + "' AND password ='" + password + "'";
        System.out.println(sql);
    }
}

事实上, StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能,还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包,我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。
wh62592855
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pymysql的使用,sql注入问题
Yydsaoligei的博客
08-18 794
pymysql的使用,sql注入问题, MySQL
最好用的Python连接Mysql库文件,防止SQL注入,可用数组编写SQL
02-20
综上所述,Python连接MySQL并进行安全操作涉及到多个方面,包括使用参数化查询防止SQL注入,数组编写SQL提高效率,通过事务管理确保数据一致性,以及优化代码和数据库设计来应对高并发场景。在实践中,需要结合具体...
pythonMySQL学习——防止SQL注入(参数化处理)
weixin_34144450的博客
07-06 147
1 import pymysql as ps 2 3 # 打开数据库连接 4 db = ps.connect(host='localhost', user='root', password='123456', database='test', charset='utf8') 5 6 # 创建一个游标对象 7 cur = db.cursor() 8 9 #...
python - mysqldb模块防注入设置
yuuuuchang的博客
01-12 2437
mysqldb有处理sql语句的转义方法, 我们不用再考虑关于字符转义的问题在接收到客户端用户发送的表单之后, 如果需要根据用户输入来获取数据, (即需要把用户提交的一些数据作为sql语句的一部分), 如果是这样的话, 我们需要对其防注入处理.利用MySQLdb.escape_string()方法对用户输入字段进行转义MySQLdb.escape_string()可以对用户输入进行转义处理, 以便...
mysql 注入防止的方法 python程序与mysql服务器端防注入
weixin_30414155的博客
09-25 96
什么是SQL注入?   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。   sql注入实例: http://www.runoob.com/mysql/mysql-sql-injection.html 1 在python代码中,参数化处理数据  sql = "INSERT INTO USER(N...
Python MySQL注入
weixin_44602192的博客
05-18 259
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 利用SQL “#” 的注释功能更改原SQL语句来实现 存在SQL注入问题的代码: #! /usr/bin/python3 # -*- encoding:utf8 -*- import pymysql import hashlib dbserver = input('输入服务器地址:') username = input('请输入用户帐号:
Python入门」python操作MySQLSqlServer
最新发布
07-17
pymysql模块模块说明:是一个Python编写的MySQL驱动程序,让我们可以用Python语言操作MySQL数据库。 前言 安装第三方模块 二、pymysql模块使用说明 2.1 mysql数据库及环境准备 2.1.1 官网下载集成环境 2.1.2 面版...
python使用pymysql操作MySQL的基础操作
12-21
Python编程中,数据库操作是常见任务之一,特别是在处理数据抓取或数据分析。本篇文章将详细介绍如何使用Python的pymysql库来操作MySQL数据库,...记住,在编写代码,确保遵循最佳实践,避免SQL注入等安全问题。
基于Python实现的自动化SQL注入检测工具
07-11
【作品名称】:基于Python实现的自动化SQL注入检测工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:####使用说明 ...
Python操作MySQL数据.pdf
01-29
此外,为避免SQL注入攻击,应当使用参数化查询。错误处理也是必不可少的,确保在遇到问题能优雅地恢复。对于大型应用,你可能还需要关注数据库的优化、并发控制、事务处理等方面。 总之,Python结合`mysql-...
使用Python防止SQL注入攻击
热门推荐
吴秋霖的博客
05-19 2万+
让我们一起掌握Python防止SQL注入的技巧跟方法来抵抗恶意攻击吧!
Python防止SQL注入
weixin_41434267的博客
10-26 636
注意这条sql语句 select * from goods where name=’ ’ or 1=1 or ‘1’ name = 空 但是 1确实等于1 所以 会查出所有信息 重点怎么防止SQL注入呢 让 execute 自动拼接字符串 就行了 ...
pythonMySQL学习——防止SQL注入
weixin_34384557的博客
06-05 225
pythonMySQL学习——防止SQL注入 学习了:https://www.cnblogs.com/xiaomingzaixian/p/7126840.html https://www.cnblogs.com/sevck/p/6733702.html  mysql环境,目前通过了%s的测试,但是?还是不行哦;  ...
Python中如何防止sql注入
luckygirlqiqiyu的专栏
10-28 4850
sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。
Python 防止mysql 注入的两种方式
weixin_30859423的博客
03-14 123
Python防止sql注入一般有两种方法 1.escape_string MySQLdb.escape_string(param) 注意:如果报错出现 'ascii' codec can't encode characters in position 0-2: ordinal not in range(128) # 因为用户输入的字符串的字符集是ascll,...
使用python操作mysql,,SQL注入问题, 视图, 触发器 ,事务(掌握重点), 存储过程,索引 问题
qq_38104453的博客
10-26 777
使用pymysql模块操作mysql, SQL注入问题, 视图, 触发器 ,事务(掌握重点), 存储过程,索引
PythonMySQLpython的交互,防止sql注入
weixin_45365220的博客
10-11 359
python中使用MySQL的模块 import pymysql python中使用MySQL的基本流程 · python中使用MySQL的代码模板 from pymysql import * # 创建connection连接 conn = connect(host="localhost",port=3306,user="root",password="mysql",database="本地数据库名称", charset="utf8") # 获得cursor对象 cs = conn.cursor(
python注入
lucyxu107的博客
02-15 1422
1. "{A}".format(A ="lala")填充 2. "0.system".format(os)找到一个属性 3.f字符串a = "Hello"                b = f"{a} World"
python mysql注入_安装MySQL-python
weixin_36037280的博客
02-09 126
1、使用yum安装1.1检查MySQL-python[root@gfsunny105 mysql_tools]# pythonPython 2.4.3 (#1, Dec 10 2010, 17:24:32)[GCC 4.1.2 20080704 (Red Hat 4.1.2-50)] on linux2Type "help", "copyright", "credits" or "license"...
python like 防止sql 注入
04-27
Python中如何防止SQL注入? 在Python中,可以使用参数化查询来防止SQL注入。参数化查询是将SQL查询和参数分开,将参数作为输入传递给查询,从而避免SQL注入。下面是一个使用参数化查询的示例代码: import mysql.connector #连接数据库 mydb = mysql.connector.connect( host="localhost", user="root", password="password", database="mydatabase" ) #创建游标 mycursor = mydb.cursor() #使用参数化查询 sql = "SELECT * FROM customers WHERE name = %s" name = ("John", ) mycursor.execute(sql, name) #取回结果 myresult = mycursor.fetchall() #输出结果 for x in myresult: print(x) 在这个例子中,我们使用参数化查询来获取名字为John的客户。注意到我们将查询和参数分开,并通过传递一个元组(name,)将参数传递给查询。这样做可以防止SQL注入攻击。 除了参数化查询之外,还有一些其他的防止SQL注入攻击的方法,如输入验证、转义字符等。但是使用参数化查询是最可靠的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值