sql注入python编程_避免pythonsqlapi中的SQL注入攻击

最新推荐文章于 2024-05-09 13:51:24 发布
最新推荐文章于 2024-05-09 13:51:24 发布
阅读量124 收藏
点赞数
文章标签: sql注入python编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35847422/article/details/114000542
版权

我设计了一个pythonsqliteapi,它与GUI接口。GUI允许用户选择一个给定的列,每个月的数据将被汇总。从https://docs.python.org/2/library/sqlite3.html学到的,我知道我写这篇文章的方式使我的代码容易受到SQL注入攻击;我使用Python的字符串操作组装了我的查询。但是,我无法使这个模块以“正确”的方式工作;使用DB-API的参数替换来放置一个“?“作为占位符,您可以在任何地方使用值。我猜问题是我想让表列成为变量而不是值。请帮助我重新构造此模块,使其更安全,更不易受到SQL注入攻击的攻击。在

下面的代码可以工作(它的功能与我希望的一样),我只知道这不是正确/最安全的方法。在def queryEntireCategoryAllEmployees(self, column):

table_column = 'Name_Data_AllDaySums.%s' % column

cursor = self.conn.execute("SELECT \

SUBSTR(data_date,1,7), \

SUM(%s) \

FROM ( \

SELECT \

SS_Installations.data_date AS 'data_date', \

SS_Installations.Installations_day_sum, \

SS_PM_Site_Visits.PM_Site_Visits_day_sum, \

SS_Rpr_Maint_Site_Visits.Inst_Repair_or_Maintenance_on_Site_day_sum, \

SS_Rmt_Hrdwr_Spt.Rmt_Hardware_Support_day_sum, \

SS_Rmt_Sftwr_Spt.Rmt_Software_Support_day_sum, \

SS_Rpr_Mant_RFB_in_House.Inst_Repair_Maint_Rfb_In_House_day_sum, \

Miscellaneous.Miscellaneous_day_sum, \

SS_Doc_Gen.Document_Generation_day_sum, \

SS_Inter_Dep_Spt.Inter_Dep_Spt_day_sum, \

SS_Online_Training.Online_Training_day_sum, \

SS_Onsite_Training.Onsite_Training_day_sum, \

SS_In_House_Training.In_House_Training_day_sum, \

Validation_Duties.Validation_Duties_day_sum \

FROM \

SS_Installations \

INNER JOIN SS_PM_Site_Visits ON \

SS_Installations.employee_clk_no = SS_PM_Site_Visits.employee_clk_no AND \

SS_Installations.data_date = SS_PM_Site_Visits.data_date \

INNER JOIN SS_Rpr_Maint_Site_Visits ON \

SS_Installations.employee_clk_no = SS_Rpr_Maint_Site_Visits.employee_clk_no AND \

SS_PM_Site_Visits.data_date = SS_Rpr_Maint_Site_Visits.data_date \

INNER JOIN SS_Rmt_Hrdwr_Spt ON \

SS_Installations.employee_clk_no = SS_Rmt_Hrdwr_Spt.employee_clk_no AND \

SS_Rpr_Maint_Site_Visits.data_date = SS_Rmt_Hrdwr_Spt.data_date \

INNER JOIN SS_Rmt_Sftwr_Spt ON \

SS_Installations.employee_clk_no = SS_Rmt_Sftwr_Spt.employee_clk_no AND \

SS_Rmt_Hrdwr_Spt.data_date = SS_Rmt_Sftwr_Spt.data_date \

INNER JOIN SS_Rpr_Mant_RFB_in_House ON \

SS_Installations.employee_clk_no = SS_Rpr_Mant_RFB_in_House.employee_clk_no AND \

SS_Rmt_Sftwr_Spt.data_date = SS_Rpr_Mant_RFB_in_House.data_date \

INNER JOIN Miscellaneous ON \

SS_Installations.employee_clk_no = Miscellaneous.employee_clk_no AND \

SS_Rpr_Mant_RFB_in_House.data_date = Miscellaneous.data_date \

INNER JOIN SS_Doc_Gen ON \

SS_Installations.employee_clk_no = SS_Doc_Gen.employee_clk_no AND \

Miscellaneous.data_date = SS_Doc_Gen.data_date \

INNER JOIN SS_Inter_Dep_Spt ON \

SS_Installations.employee_clk_no = SS_Inter_Dep_Spt.employee_clk_no AND \

SS_Doc_Gen.data_date = SS_Inter_Dep_Spt.data_date \

INNER JOIN SS_Online_Training ON \

SS_Installations.employee_clk_no = SS_Online_Training.employee_clk_no AND \

SS_Inter_Dep_Spt.data_date = SS_Online_Training.data_date \

INNER JOIN SS_Onsite_Training ON \

SS_Installations.employee_clk_no = SS_Onsite_Training.employee_clk_no AND \

SS_Online_Training.data_date = SS_Onsite_Training.data_date \

INNER JOIN SS_In_House_Training ON \

SS_Installations.employee_clk_no = SS_In_House_Training.employee_clk_no AND \

SS_Onsite_Training.data_date = SS_In_House_Training.data_date \

INNER JOIN Validation_Duties ON \

SS_Installations.employee_clk_no = Validation_Duties.employee_clk_no AND \

SS_In_House_Training.data_date = Validation_Duties.data_date \

WHERE \

(SS_Installations.Installations_day_sum != 0 OR \

SS_PM_Site_Visits.PM_Site_Visits_day_sum !=0 OR \

SS_Rpr_Maint_Site_Visits.Inst_Repair_or_Maintenance_on_Site_day_sum != 0 OR \

SS_Rmt_Hrdwr_Spt.Rmt_Hardware_Support_day_sum != 0 OR \

SS_Rmt_Sftwr_Spt.Rmt_Software_Support_day_sum != 0 OR \

SS_Rpr_Mant_RFB_in_House.Inst_Repair_Maint_Rfb_In_House_day_sum != 0 OR \

Miscellaneous.Miscellaneous_day_sum != 0 OR \

SS_Doc_Gen.Document_Generation_day_sum != 0 OR \

SS_Inter_Dep_Spt.Inter_Dep_Spt_day_sum != 0 OR \

SS_Online_Training.Online_Training_day_sum != 0 OR \

SS_Onsite_Training.Onsite_Training_day_sum != 0 OR \

SS_In_House_Training.In_House_Training_day_sum != 0 OR \

Validation_Duties.Validation_Duties_day_sum != 0)) Name_Data_AllDaySums \

GROUP BY SUBSTR(data_date,1,7) \

ORDER BY SUBSTR(data_date,1,7) ASC" % table_column)

dataList = cursor.fetchall()

return dataList

李京潞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次api接口SQL注入实战
m0_65247093的博客
04-30 3273
目录 0x01 思路:google hacking语法asmx?wsdl 0x02 发现两个接口 并且能够异地调用 0x03 抓包repeat判断 0x04 暴库 指导 某迪导师 0x01 思路:google hacking语法asmx?wsdl 点击url:domain/WebServices/InboxWS.asmx 0x02 发现两个接口 并且能够异地调用 火狐抓包 测试 0x03 抓包repeat判断 四个参数加 ' 报nynax错误 由此推断可能存..
JDBC-API详解、SQL注入演示、连接池
树叶子的博客
02-24 863
在开发我们使用的是java语言,那么势必要通过java语言操作数据库的数据。这就是接下来要学习的JDBC。Statement对象的作用就是用来执行SQL语句。而针对不同类型的SQL语句使用的方法也不一样。执行DDL、DML语句执行DQL语句该方法涉及到了ResultSet对象,而这个对象我们还没有学习,一会再重点讲解。封装了SQL查询语句的结果。ResultSet executeQuery(sql) :执行DQL 语句,返回 ResultSet 对象那么我们就需要从ResultSet。
未对API输入进行验证:未验证用户输入,容易受到SQL注入攻击
图幻未来的博客
01-29 854
应用程序接口(API)是连接不同系统和服务的桥梁,使它们能够互相通信和数据交换。然而,如果不对API的输入数据进行有效验证和过滤,将会面临安全风险,如SQL注入、跨站脚本(XSS) 和身份冒充等问题。本文将讨论这些问题以及提供相应的安全措施来避免潜在风险。
Web LLM 攻击实验:利用 LLM API 实现 SQL 注入
最新发布
Flag少侠的博客
05-09 2106
Web LLM 攻击各组织都在急于集成大型语言模型 (LLM),以改善其在线客户体验。这使他们面临 Web LLM 攻击,这些攻击利用模型对攻击者无法直接访问的数据、API 或用户信息的访问权限。检索 LLM 有权访问的数据。此类数据的常见来源包括 LLM 的提示、训练集以及提供给模型的 API。通过 API 触发有害操作。例如,攻击者可以使用 LLM对其有权访问的 API 执行 SQL 注入触发对查询 LLM 的其他用户和系统的攻击
API安全之 - SQL 注入攻击
ws - 兮的博客空间
12-03 1318
一、什么是SQL注入 SQL注入:利用现有应用程序,将(恶意)的SQL命令注入到后台数据库执行一些恶意的 作。 造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码 SQL注入攻击手段 不要使用拼接SQL语句方式、最好使用预编译...
SQL住入原始脚本_SQL注入python脚本_
10-03
标题的“SQL住入原始脚本”指的是利用SQL注入技术来编写或执行的原始SQL命令,而“SQL注入python脚本”则表明我们将探讨如何使用Python编写脚本来自动化这一过程。 SQL注入攻击主要有三种类型:直列注入、延时...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python防止sql注入的...
SQL脚本_UI_sql注入_sql_
10-01
在IT行业SQL注入是一种常见的安全漏洞,攻击者利用它来操纵或窃取数据库的敏感信息。本主题主要关注通过用户界面(UI)执行的SQL注入攻击,以及两种常见的注入技术:报错注入和基于布尔及时间的盲注。下面我们...
web_scan_code.zip_python_sql injection_sql注入_web scan_webscan
07-15
实现对网页的试错,判断后台数据库类型以及是否存在SQL注入的可能
sql注入程序(python2.7+pyqt4.8.5)
03-10
包含程序,还有两个jsp的测试网站(MSSQL、MySQL),程序带有详细的注释。
基于pythonsql注入脚本
03-04
适合刚学pythonsql注入的人 import urllib2 import re
sql注入详解
m0_67392811的博客
06-12 5823
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互,前端的数据传入到后台处理时,没
Python 渗透测试:利用SQLmap API接口进行批量的SQL注入检测.(SRC挖掘)
网络安全领域___专研者.
05-24 7313
Python 开发学习的意义: (1)学习相关安全工具原理. (2)掌握自定义工具及拓展开发解决实战无工具或手工麻烦批量化等情况. (3)在二次开发 Bypass,日常任务,批量测试利用等方面均有帮助.
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2162
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
SQL注入详解
热门推荐
huangyongkang666的博客
03-20 4万+
SQL注入详解 1.SQL注入简介 ​ SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 ​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 2. sql 注入产生原因及威胁 ​ 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行
Python编写SQL注入工具(1)
diaotuanao1650的博客
11-21 605
编写原由:自学了一点SQL注入Python的知识.虽然,早就有了非常好的注入工具Sqlmap,但自己想写一个自动注入的工具玩玩,写的不好之处,还望不吝指正. 第一部分:注入点测试模块(injectTest.py) #coding=gb2312 import urllib import os import string from re import search ...
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击
05-24
Python使用PyMySQL库连接MySQL数据库时,可以通过参数化查询的方式来避免SQL注入攻击。 具体来说,就是将SQL语句的变量替换为占位符,并将变量的值作为参数传递给PyMySQL的execute()方法。例如: ``` import ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值