mysql sql注入方案_pymysql的sql注入解决方案

最新推荐文章于 2023-04-24 09:53:34 发布
最新推荐文章于 2023-04-24 09:53:34 发布
阅读量347 收藏
点赞数
文章标签: mysql sql注入方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29229261/article/details/113470338
版权
本文介绍了SQL注入的概念,通过实例展示了如何使用pymysql进行SQL注入攻击,并提供了两种解决方案:转义特殊字符和使用`escape_string`函数。通过这些方法,可以有效防止SQL注入,确保数据库操作的安全。
摘要由CSDN通过智能技术生成

1.什么是sql注入

释义:

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息

参考文章

2.基于pymysql:sql注入问题举例

例子:

我现在tb1数据库,下面有个user表,结构如下:

mysql> desc user;

+-------+-------------+------+-----+---------+----------------+

| Field | Type | Null | Key | Default | Extra |

+-------+-------------+------+-----+---------+----------------+

| id | int(11) | NO | PRI | NULL | auto_increment |

| name | varchar(10) | NO | | NULL | |

| pwd | varchar(12) | NO | | NULL | |

+-------+-------------+------+-----+---------+----------------+

3 rows in set (0.00 sec)

查看一下user表当前的数据:

mysql> select id, name, pwd from user;

+----+------+---------+

| id | name | pwd |

+----+------+---------+

| 1 | jack | jack123 |

| 2 | rose | rose123 |

+----+------+---------+

2 rows in set (0.00 sec)

现在用pymysql来连接数据库,然后进行sql语句查询,一般的查询都是用户名=xxx and 密码=xxx,下面先来写一个函数,来连接数据库:

import pymysql

def query(sql):

conn = pymysql.connect(host="127.0.0.1", port=3306, user='root', password='', db='tb1')

cursor = conn.cursor()

cursor.execute(sql)

print('打印结果:', cursor.fetchall())

cursor.close()

conn.close()

if __name__ == "__main__":

sql = "select * from user where name= %s and pwd=%s" % ("'' or 1=1 #", 'sdf')

print(sql)

query(sql)

输出

select id, name, pwd from user where name= '' or 1=1 # and pwd=sdf

打印结果: ((1, 'jack', 'jack123'), (2, 'rose', 'rose123'))

sql将里面的' '进行转义后再去查询,转义后sql语句查询会语法错误,完美解决sql注入问题。

case2:将sql语句先escape_string,然后执行

if __name__ == "__main__":

# sql = "select id, name, pwd from user where name= %s and pwd=%s" % ("'' or 1=1 #", 'sdf')

# print(sql)

sql = "select * from user where name= %s and pwd=%s" % ("'' or 1=1 #", 'sdf')

escape_string_sql = pymysql.escape_string(sql)

print(escape_string_sql)

query(escape_string_sql)

输出结果

escape_string_sql: select * from user where name= \'\' or 1=1 # and pwd=sdf

# 报错如下:

pymysql.err.ProgrammingError: (1064, "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\\'\\' or 1=1 # and pwd=sdf' at line 1")

sql将里面的' '进行转义后再去查询,转义后sql语句查询会语法错误,完美解决sql注入问题。

3.pymysql.escape_string源码简析

下面摘取片段escape_string的源码:

_escape_table = [unichr(x) for x in range(128)] # 对128个unicode字符生成列表

_escape_table[0] = u'\\0'

_escape_table[ord('\\')] = u'\\\\'

_escape_table[ord('\n')] = u'\\n'

_escape_table[ord('\r')] = u'\\r'

_escape_table[ord('\032')] = u'\\Z'

_escape_table[ord('"')] = u'\\"'

_escape_table[ord("'")] = u"\\'"

# 将Unicode某些字符进行替换

def _escape_unicode(value, mapping=None):

"""escapes *value* without adding quote.

Value should be unicode

"""

return value.translate(_escape_table) # 根据映射进行替换

if PY2:# 在python2中

def escape_string(value, mapping=None):

"""escape_string escapes *value* but not surround it with quotes.

Value should be bytes or unicode.

"""

if isinstance(value, unicode):

return _escape_unicode(value)

assert isinstance(value, (bytes, bytearray)) # 如果是字节的话

value = value.replace('\\', '\\\\')

value = value.replace('\0', '\\0')

value = value.replace('\n', '\\n')

value = value.replace('\r', '\\r')

value = value.replace('\032', '\\Z')

value = value.replace("'", "\\'")

value = value.replace('"', '\\"')

return value # 将字节里面进行转义

def escape_bytes_prefixed(value, mapping=None):

assert isinstance(value, (bytes, bytearray))

return b"_binary'%s'" % escape_string(value)

def escape_bytes(value, mapping=None):

assert isinstance(value, (bytes, bytearray))

return b"'%s'" % escape_string(value)

else:

escape_string = _escape_unicode # 在python3中unicode_string = escape_string

分析:

1.对128个ASCII码,在PY2中用unichr()函数转换为对应字符,并按顺序生成列表。

在PY3中用chr(),unichr已经不适用PY3了;

2.将128个转换后的特殊字符用ord()找到特殊字符顺序,然后进行重新赋值(转义),生成最终的ASCII字符对照表(已转义)。

3.定义了_escape_unicode函数,函数传入一个参数为value,可以理解为我们传入的sql语句,返回的是将值的每个ASCII字符对应位置进行转化。

4.判断当前python环境

如果是python2,escape_string判断value值是不是unicode类型,如果是,直接调用_escape_unicode方法

如果是bytes类型,那么就针对bytes类型的特殊字符进行转义操作即可,然后返回转义后的value

为什么PY2中要进行类型判断?:

这需要从PY2和PY3的编码变化来说

- PY3:所有str类型都是Unicode对象

- PY2:默认编码是ascii,但是有2中数据模型来支持字符串这种数据类型,分别为str(bytes类型)和unicode,所以要进行判断str到底是bytes,然后进行操作。

5.然后如果是PY3,PY3所有str都是unicode类型了,所以_escape_string=_escape_unicode方法了。

Strive追逐者
关注
学习博客:【MySQLSQL注入问题及解决
Aurinko324的博客
05-06 281
SQL存在漏洞,被攻击会导致数据泄露 package com.yl.lesson02.untils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; //SQL注入 public class SqlInject { public static void main(String[] args) { //正常登
mysql存储过程 sql注入_pymysql如何解决sql注入问题深入讲解
weixin_39629780的博客
02-08 758
1. SQL 注入SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。即:因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。产生原因:SQL语句使用了动态拼接的方式。例如,下面这段代码通过获取用户信息来校验用户权限:import pymysqlsql = 'SELECT count(*) as count FROM us...
python抓取数据时失败_关于抓取回来的网页数据保存失败问题???
weixin_39993322的博客
11-28 313
获取保存的页面数据content=soup.find_all('div',{'class':'single-content'})pymysqlcon=pymysql.connect(host='127.0.0.1',user='root',password='root',db='spider',charset="utf8mb4")try:withpymysqlcon.cursor()a...
python使用mysql,防止SQL注入
帅的飞起的博客
04-24 822
python使用mysql防止SQL注入
python pymysql转义方法escape_string使用说明及报错解决方法
COCO56的博客
01-15 2万+
文章目录1. 按2. 说明2.1. 为什么要转义?2.2. 后期使用需要反转义吗? 1. 按 pymysql中有专门的转义方法,导入语法如下: # v1.0.0及以上 from pymysql.converters import escape_string # v0.10.1及以下 from pymysql import escape_string 注意:v1.0.0及以上请使用from pymysql.converters import escape_string,否则将抛出ImportError:
assert isinstance(data, bytes), 'applications must write bytes'
挑灯看剑的博客
10-20 2274
Q: 2019-10-20 14:19:50,241 28109 INFO ? werkzeug: 127.0.0.1 - - [20/Oct/2019 14:19:50] "GET /?db=dataforce_v7 HTTP/1.1" 404 - 2019-10-20 14:19:50,242 28109 ERROR ? werkzeug: Error on request: Tra...
python-mysql.zip_MYSQL_pymysql_python MySQL_python连接mysql_连接数据库
07-13
`pymysql`是Python连接MySQL数据库的一个重要工具,它提供了类似Python标准库`DB-API`的接口,使得开发者可以方便地进行SQL查询和数据操作。在Python项目中,如果你需要与MySQL数据库交互,`pymysql`是一个理想的...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
PY—MYsql.rar_MYSQL_pymysql什么功能_python_python 数据存储_truthf7w
09-24
Pymysql是Python连接MySQL数据库的一个库,它提供了与MySQL交互的能力,允许开发者通过Python编写代码来执行SQL查询,处理数据存储和检索任务。在这个“PY—MYsql.rar”压缩包中,我们很可能是找到了一个关于如何...
flask mysql sql注入_Python 中如何防止sql注入
weixin_34622572的博客
03-04 1314
前言web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python的方法其实类似,这里我就举例来说说。起因漏洞产生...
python中assert、isinstance的用法
琪琪的博客
01-07 2万+
1. assert 函数说明: Assert statements are a convenient way to insert debugging assertions into a program: assert语句是一种插入调试断点到程序的一种便捷的方式。 使用范例: assert 3 == 3 assert 1 == True assert (4 == 4)
python中assert和isinstance的用法
python学习者的博客
10-30 1434
assert语句是一种插入调试断点到程序的一种便捷的方式。 assert 3 == 3 assert 1 == True assert (4 == 4) print('-----------') assert (3 == 4) ''' 抛出AssertionError异常,后面程序不执行 ''' print('-----------') isinstance函数说明: 当我们定义一个class的时候,我们实际上就定义了一种数据类型。我们定义的数据类型和Python自带的数据类型,比如str、list、di
mysql float64_'numpy.float64'对象没有属性'translate'在Python中插入值到Mysql
weixin_34517745的博客
01-27 460
import datasetdb = dataset.connect(....)table = db[...]样本值,我插入到表:print("Buy", ticker, price, date, OType, OSize)Buy AAPL 93.4357142857 2016-05-12 Market 200data = dict(Order_Side='Buy',Ticker=ticker, ...
牛人总结python中string模块各属性以及函数的用法,果断转了,好东西
xiaoxiaoniaoer1的专栏
01-25 3万+
原文链接:http://blog.chinaunix.net/uid-25992400-id-3283846.html 任何语言都离不开字符,那就会涉及对字符的操作,尤其是脚本语言更是频繁,不管是生产环境还是面试考验都要面对字符串的操作。     python的字符串操作通过2部分的方法函数基本上就可以解决所有的字符串操作需求: python的字符串属性函数python的stri
python防止sql注入
HideInTime的博客
04-14 4010
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
Python3中的bytes和str类型
热门推荐
lyb3b3b的专栏
07-11 6万+
Python 3最重要的新特性之一是对字符串和二进制数据流做了明确的区分。文本总是Unicode,由str类型表示,二进制数据则由bytes类型表示。Python 3不会以任意隐式的方式混用str和bytes,你不能拼接字符串和字节流,也无法在字节流里搜索字符串(反之亦然),也不能将字符串传入参数为字节流的函数(反之亦然)。 下面让我们深入分析一下二者的区别和联系。 编码发展的历史 在谈by...
pymysql模块学习之sql注入解决方案
爱喝水的qdy的博客
12-17 154
目录解决方案示例代码 解决方案 有些网站在让其输入账号的时候,会自动检测,不能输入特殊字符 在程序中更改字符串拼接的方式 改写为(execute 帮我们做字符串拼接,我们无需且一定不能再为%s加引号了) sql = 'select id, username, password from userinfo where username=%(uname)s and password=%(pw...
玩转Python让人讨厌的编码问题
Skycrab
01-31 4万+
Python的编码问题基本是每个新手都会遇到的坎,但只要完全掌握了就跳过了这个坑,万变不离其中,这不最近我也遇到了这个问题,来一起看看吧。事情的起因是review同事做的一个上传功能,看下面一段代码,self.fp是上传的文件句柄fpdata = [line.strip().decode('gbk').encode('utf-8').decode('utf-8') for line in self.
python编码与反编码 decode('unicode-escape')
白氏可乐python学习归纳区
10-24 3万+
“反编码”我自己起的名字,大概意思就是我得到一串字符,是unicode码,如:‘\u53eb\u6211’,进行反编码后得到其对应的汉字。 f='\u53eb\u6211' print f print(f.decode('unicode-escape'))   结果为: \u53eb\u6211 叫我
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击?
最新发布
05-24
Python中使用PyMySQL库连接MySQL数据库时,可以通过参数化查询的方式来避免SQL注入攻击。 具体来说,就是将SQL语句中的变量替换为占位符,并将变量的值作为参数传递给PyMySQL的execute()方法。例如: ``` import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值