python注入攻击_在python中使用sqlite的时候应注意防止注入攻击

最新推荐文章于 2024-04-02 14:25:06 发布
最新推荐文章于 2024-04-02 14:25:06 发布
阅读量691 收藏
点赞数
文章标签: python注入攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32462499/article/details/114443396
版权

在python的文档中有大概这样一段描述:

在使用sql语句操纵数据库的时候,不应该直接将字符串连接起来作为sql语句进行查询,因为直接将外部传入的字符串代入到sql语句中就会产生sql注入的问题。

比如下面是一个错误的用法

symbol = 'IBM'

c.execute("... where symbol = '%s'" % symbol)

#错误的用法,会带来sql注入

在实际使用的时候,应该使用数据库API提供的参数替代方法传递外部的参数。也就是常说的“一个萝卜一个坑”。把需要执行的sql参数作为数据库API的某个函数的参数传递进去,这样在API内部就做了对敏感字符的转义工作。

下面是正确的用法:

t = (symbol,)

c.execute('select * from stocks where symbol=?', t)

# Larger example

for t in [('2006-03-28', 'BUY', 'IBM', 1000, 45.00), ('2006-04-05', 'BUY', 'MSOFT', 1000, 72.00), ('2006-04-06', 'SELL', 'IBM', 500, 53.00), ]:

c.execute('insert into stocks values (?,?,?,?,?)', t)

在python中,这种语法的用法是:在sql语句的任意位置使用问号替代参数,然后把外部传递进来的参数放在一个数组中,然后把数组作为cursor.execute()方法的参数传递进去查询。

蔡千年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python操作sqlite3快速、安全插入数据(防注入)的实例
09-10
主要介绍了Python操作sqlite3快速、安全插入数据(防注入)的实例,通过在一个表格进行操作来论述如何使用Python快速安全地操作sqlite3,需要的朋友可以参考下
java sqlite注入_SQLite注入
weixin_31434215的博客
02-16 172
如果您的站点允许用户通过网页输入,并将输入内容插入到 SQLite 数据库,这个时候您就面临着一个被称为 SQL 注入的安全问题。本章节将向您讲解如何防止这种情况的发生,确保脚本和 SQLite 语句的安全。注入通常在请求用户输入时发生,比如需要用户输入姓名,但用户却输入了一个 SQLite 语句,而这语句就会在不知不觉在数据库上运行。永远不要相信用户提供的数据,所以只处理通过验证的数据,这项...
python注入攻击_Python用04_自动sql注入攻击
weixin_35146639的博客
02-21 336
from prettytable import PrettyTableimport HackRequestsfrom bs4 import BeautifulSoupimport reimport time#1.判断能否注入以及注入类型Type=0dic1 = ['?id=1', '?id=1\'+--+', '?id=1\')+--+1', '?id=1\'))+--+', '?id=1"+--...
Python访问SQLite数据库使用参数化查询防SQL注入
Python小屋
02-03 1751
推荐教材:《Python程序设计基础与用》(ISBN:9787111606178),董付国,机械工业出版社图书详情:配套资源:用书教师可以联系董老师获取教学大纲、课件、源码、电子教案、考...
Python防止sql注入
weixin_34334744的博客
06-23 267
看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python   最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话: Note that the placeholder syntax depends on the database you are using 'qmark' Q...
SQL住入原始脚本_SQL注入python脚本_
10-03
在实际,为了防止SQL注入,开发者遵循以下最佳实践: - 使用参数化查询或预编译的语句,如PythonSQLite3模块的`execute()`函数。 - 避免将用户输入直接拼接到SQL语句。 - 对用户输入进行适当的过滤和...
Python使用SQLite的简单教程
09-10
下面将详细介绍如何在Python使用SQLite3进行数据库操作。 首先,我们需要了解几个基本概念: 1. **数据库(Database)**:存储数据的容器,SQLite的数据库实际上是一个文件,如`test.db`。 2. **表(Table)**:...
基于Python的SQL注入攻击防御的策略研究.pdf
01-04
Python 内置模块可以用于防御 SQL 注入攻击,例如使用 Pythonsqlite3 模块来执行参数化查询。 10. Flask 框架的用 Flask 框架是一个轻量级的 Web 框架,可以用于搭建 Web 服务器,以模拟 SQL 注入攻击和防御...
Python实现excel转sqlite的方法
09-09
使用参数化查询可以防止SQL注入攻击。 ```python def insert_sqlite(row_data): con = sqlite3.connect("test.db") cur = con.cursor() try: cur.execute("create table if not exists contacts(_id integer ...
python注入攻击_mySql 注入攻击
weixin_39754915的博客
12-21 156
注入攻击1.原理:a.只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入;b.字符串拼接和没有判断用户输入是否合法------>导致用户可以玩填字游戏----->SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库。2.简单解决方法:预防字符串拼接---->可以使用变量绑定避免注入攻击.以查询语句为例:正确输入名称与密码name = "hello"  ...
python注入攻击_python番外篇--sql注入
weixin_35141284的博客
01-29 344
一、sql注入概念介绍所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。二、Python防止sql注入的方法i...
python注入攻击_pythonsql注入
weixin_32818919的博客
02-21 608
coding:utf-8from pymysql importconnect#连接数据库conn=connect(host=‘localhost‘,port= 3306,user=‘root‘,passwd=‘root‘,db=‘ca‘,)#创建操作游标,创建了mysql的操作链接a=conn.cursor()#设置字符集为Utf-8a.execute(‘set names utf8‘)方法一fo...
python 防sql注入_Python的防SQL注入
weixin_35332816的博客
12-23 173
本文最后更新于2015年6月7日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!搜索关键字:python mysqldb anti sql injection参考链接:参考解答:Using the Python DB API, don’t do this:# Do NOT do it this way.cmd = "update people set name='%s' where...
Sqlite插入单引号和双引号,防止sql注入
最新发布
-凌凌漆-的博客
04-02 744
1. 方法 sqlite3_mprintf替换sprintf, '%q'替换'%s'. 2. 举例 修改前代码 //修改前, hello'123写入失败 char sql[1000] char* sql = sprintf("UPDATE table SET name = '%s' WHERE name_id = %d", "hello'123", 1); rc = sqlite3_exec(db, sql, NULL, NULL, &err
Python之SQL 防注入问题,绕过登录验证进入数据库,可能会导致大问题。
qq_46556714的博客
11-27 2518
SQL 防注入问题 所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗 服务器执行恶意的SQL命令。 例子 user=“root” password=“123456” 如果知道用户名和密码用以下语句登录验证: user,pwd = "root","123456" cursor = conn.cursor() sql = "select * from tb_login where user = '{0}' and pwd ='{1}' " cursor.e
python过滤sql_Python sql注入 过滤字符串的非法字符实例
weixin_39619270的博客
11-30 139
我就废话不多说了,还是直接看代码吧!#coding:utf8#在开发过程,要对前端传过来的数据进行验证,防止sql注入攻击,其的一个方案就是过滤用户传过来的非法的字符def sql_filter(sql, max_length=20):dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "", "+", "%", "$",...
SQLite学习(十)SQLite注入问题的防范、数据库文件导入和导出
Designer 小郑的技术博客
05-12 2936
本文讲解了SQLite的SQL注入问题,以及SQLite数据备份、数据还原、导出SQL文件的方法,用最简单的方法做最通俗的教学!
pythonsql注入步骤_Python的sql注入
weixin_39639260的博客
11-30 177
请问当以下代码在cmd运行的时候如何使用sql注入使得他可以接受任何账号密码#Runvia`pythoninjection.py`--compatiblewithPython2andPython3from__future__importprint_function#Ifraw...请问当以下代码在cmd运行的时候如何使用sql注入使得他可以接受任何账号密码# Run via `python inj...
python 使用sqlite的操作,怎么使用变量的代码
02-06
Python 使用 SQLite 时,可以使用占位符 (placeholder) 来使用变量。举个例子: ```python import sqlite3 # 连接数据库 conn = sqlite3.connect('example.db') cursor = conn.cursor() # 定义变量 name = '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值