web.py中防止sql注入

最新推荐文章于 2023-11-21 17:51:54 发布
最新推荐文章于 2023-11-21 17:51:54 发布
阅读量232 收藏
点赞数
文章标签: python 数据库
原文链接:https://my.oschina.net/kyle960/blog/2236673
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

web.py中防止sql注入

sql注入

sql注入是常见的安全漏洞。举例说明,web服务器为了验证用户名和密码,可能会执行下面这样一条sql查询:

SELECT * FROM user WHERE uid = 'name' AND passwd = '123'

其中uid和passwd是用户提交的输入字串。别有用心的使用者,在提交用户名和密码的时候,特意注入一些特殊字符,以达到攻击数据库的目的。比如,用户如果提交的uid为:name'# ,那么他使用任何passwd都可以通过用户名和密码验证。上面的sql查询语句会变成:

SELECT * FROM user WHERE uid = 'name'#' AND passwd = 'abc'

由于#在sql语句中起到注释的效果,那么上面的sql语句实际上执行的是:

SELECT * FROM user WHERE uid = 'name'

这就是sql注入攻击,在提交的字串中注入特殊字符,以达到改变sql语句执行效果的目的。

预防sql注入

在web.py中解决sql注入是比较简单的,那就是参数化查询。 下面列出几种,会被注入,和不会注入的写法,做对比。

# 会被注入的写法
query = "select * from user where uid='%s' and passwd='%s'" % (uid, passwd)
db.query(query)

# 不会被注入的写法
query = "select * from user where uid=$uid and passwd=$passwd"
p = {
        'uid':uid,
        'passwd':passwd
}
selected = db.query(query, p)

# 传入where条件字串的方法,会被注入
db.update('user', where="uid='%s' and passwd='%s'" % (uid, passwd), passwd='789')

# 传入参数的方法,不会被注入
db.where('passwd', uid=uid, passwd=passwd)

使用参数化查询,就可避免sql注入了。

转载于:https://my.oschina.net/kyle960/blog/2236673

weixin_34061042
关注
简单而直接的Python web 框架:web.py
墨鱼菜鸡
07-11 1092
From:https://www.oschina.net/question/5189_4306 Web.py github 地址:https://github.com/webpy/webpy https://pypi.python.org/pypi/web.py Web.py Cookbook 简体文版:http://webpy.or...
CSZ CMS 1.2.X sql注入漏洞
09-07
CSZ CMS 1.2.X版本(2019-06-20之前)的core/MY_Security.php文件存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。 ## 二、漏洞影响 CSZ CMS ...
WEB登录防sql注入 url注入 脚本注入
12-05
WEB登录防sql注入 url注入 脚本注入
Python防止sql注入
weixin_34334744的博客
06-23 291
看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python   最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话: Note that the placeholder syntax depends on the database you are using 'qmark' Q...
WEB安全-SQL注入
qq_43175099的博客
11-17 324
什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 为什么会产生SQL注入? 没有对用户的输入...
WebSQL注入
xiaodongry8的专栏
05-25 184
在Global的文件下: Application_BeginRequest添加如下代码: foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.Request.Form[i].ToString()//处理里面的值 } //遍历Get参数。 ...
web容器有几种作用域?如何防止SQL注入
weixin_40447224的博客
01-21 1321
1.web容器的四大作用域 pageContext, request, session、application四个作用域         1、如果把变量放到pageContext里,就说明它的作用域是page,它的有效范围只在当前jsp页面里。 从把变量放到pageContext开始,到jsp页面结束,你都可以使用这个变量。         2、如果把变量放到request
布尔盲注.py_sql盲注python_
10-03
布尔盲注(Boolean-Based Blind Injection)是SQL注入攻击的一种类型,攻击者通过发送精心构造的查询,...在实际环境,应该采取适当的安全措施来防止SQL注入,如使用预编译语句、输入验证和限制数据库用户的权限。
sql_injector.py.tar.gz_SQL injector_in_injector python_python sq
09-14
总之,`sql_injector.py`作为一款Python实现的SQL注入工具,通过自动化的方式提高了测试效率,降低了人工审计的复杂性,对于提升Web应用的安全性具有重要意义。然而,安全是动态的,随着攻击手段的不断演变,开发者...
基于web.py的博客系统
04-13
2. **输入验证**:防止SQL注入和其他攻击,对用户提交的数据进行验证和清理。 3. **缓存机制**:对于访问频繁的页面,可以使用缓存来提高性能,如使用Web.py的`cache`模块或第三方库如Redis。 4. **错误处理**:...
JavaWeb防SQL注入的方法
08-13
SQL注入漏洞是Web应用经常出现的安全问题,本文提出了在JSP开发如何防范SQL注入的方法,以及使用ORM框架Hibernate防范SQL注入的方法。
python防止sql注入
HideInTime的博客
04-14 4095
python拼接动态sql的多种方式 在python,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
java web 防止sql注入攻击_如何测试WEB应用程序防止SQL注入攻击
weixin_39641103的博客
02-16 212
摘要:在WEB应用程序的软件测试,安全测试是非常重要的一部分,但常常容易被忽视掉。在安全测试防止SQL注入攻击尤其重要。本文介绍了SQL注入攻击产生的后果以及如何进行测试。关键字:安全测试 SQL 注入攻击 防火墙正文:WEB应用程序的安全测试,防止SQL注入攻击,下面举一些简单的例子加以解释。——Inder P Singh。许多应用程序运用了某一类型的数据库。测试下的应用程序有一个接受用户...
Web项目防止SQL注入的四种方案
最新发布
林立鹏的博客
11-21 436
Web项目防止SQL注入的四种方案
java web防止sql注入
王百林的博客
12-22 2052
//取得本次请求request的参数 Map paramMap = request.getParameterMap(); //参数key Set keySet = paramMap.keySet(); for (String key : keySet) { //参数value String[] paramValue = paramMap.get(key); for (String
Javaweb防止sql注入,xss攻击,cros恶意访问
oayoat blog
04-03 1884
https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487
防止SQL注入的四种方案
热门推荐
dehuisun的专栏
09-05 1万+
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
web开发防止SQL注入
diaoding3046的博客
11-21 381
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输入用...
python Web安全之防止SQL注入
Fantasy_worm的博客
01-03 3788
伴随着Web2.0、社交网络、微博等一系列新型互联网产品的兴起,基于Web环境的互联网应用越来越广泛,Web攻击的手段也越来越多样,Web安全史上的一个重要里程碑是大约1999年发现的SQL注入攻击,之后的XSS,CSRF等攻击手段愈发强大,Web攻击的思路也从服务端转向了客户端,转向了浏览器和用户。 在安全领域,一般用帽子的颜色来比喻黑客的善与恶,白帽子是指那些工作在反黑客领域的技术专家,这个...
web2py框架详解:快速开发Web应用
在Web2py,安全性是其核心特性之一,框架内置了防止SQL注入和跨站脚本攻击的防护措施。此外,它还提供了一种灵活的授权系统,允许开发者控制用户对应用程序不同部分的访问权限。 手册内容涵盖了Python编程基础,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值