python sql注入如何预防_Python中该怎么防止SQL注入

最新推荐文章于 2023-04-24 09:53:34 发布
最新推荐文章于 2023-04-24 09:53:34 发布
阅读量433 收藏 2
点赞数
文章标签: python sql注入如何预防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39554434/article/details/114391492
版权

SQL注入

SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。

----维基百科

简而言之,sql注入是指在http通信中, 将sql语句伪装成参数传入服务器,服务器如果没有防范则会执行恶意sql语句,从而导致数据泄露等危险.那么如何防止sql注入呢?

ORM

象关系映射(英语:Object Relational Mapping,简称ORM),是一种程序设计技术,用于实现面向对象编程语言里不同类型系统的数据之间的转换。从效果上说,它其实是创建了一个可在编程语言里使用的“虚拟对象数据库”.

借助OO思想,数据库中的表被映射为Python的类,类的对象代表数据表中的一行记录,所有的DB操作都通过对象方法调用来实现,这些调用在底层被自动转换成SQL语句,在转换过程中,通常会采用parameter bind的方式保证生成的parameterized SQL不存在被注入的风险.

常用的orm肯定是sqlalchemy.

MySQLdb

mysqldb是常用的操作mysql的库, 导致sql注入的写法:

temp = "select name from userinfo where name='%s' and password='%s'" % (username, pwd)

effect_row = cursor.execute(temp)

这种方法直接将参数进行拼接

正确的写法是:

effect_row = cursor.execute("select name from userinfo where name='%s' and password='%s'",(username, pwd,))

通过参数的形式传入sql语句, 会将 ' 单引号进行转义

SQLAlchemy

前文说到,当使用sqlalchemy时,正常使用如:

session.query(User).filter(id == user_id)

是不会有问题的,因为orm会将sql语句进行转义,但是如果使用其execute()直接执行sql语句则还是有一定的风险的,如:

session.execute('select * from user where id = %s' % user_id).fetchall()

正确的写法:

from sqlalchemy import text

sql = 'select * from user where id = :id'

session.execute(text(sql), {'id':1}).fetchall()

通过text函数将数值通过参数的形式传入.

结尾结论: 无论何时尽量使用参数绑定的形式来构建SQL语句

weixin_39554434
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flask mysql sql注入_Python 中如何防止sql注入
weixin_34622572的博客
03-04 1300
前言web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最屌的语言)防注入的各种方法都有,Python方法其实类似,这里我就举例来说说。起因漏洞产生...
如何使用SQLAlchemy库写出防SQL注入的Raw SQL
热门推荐
slvher的专栏
08-03 1万+
Python阵营有很多操作数据库的开源库(安装pip后,可以借助”pip search mysql”查看可用的库列表),其中被使用最多的无疑是MySQLdb,这个库简单易上手。其偏底层的特性为开发者提供灵活性的同时,也对不少新手写出的DB操作代码提出了考验,因为它只支持raw sql,容易导致sql注入攻击。鉴于此,很多库提供了ORM接口能力,借助OO思想,数据库中的表被映射为Python的类,类的
Python防止sql注入方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python防止sql注入方法,需要的朋友可以参考下。
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击
weixin_30260621的博客
01-28 309
Python驱动程序不使用实际的查询参数。在python中,参数(示例中的变量attack)在将SQL发送到数据库服务器之前被插入到SQL字符串中。在这与使用查询参数不同。在真正的参数化查询中,SQL字符串被发送到数据库服务器,参数占位符保持不变。在但是Python驱动程序确实在插值时正确地避开了参数,这可以防止SQL注入。在我可以在打开查询日志时证明:mysql> SET GLOBAL g...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
sqlalchemy防sql注入
weixin_30314631的博客
07-18 818
银行对安全性要求高,其中包括基本的mysql防注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql防注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 where in 的防sql注入:(in 的内容一定要是tuple类型,否则查询结果不对) in_str = tuple(input_list)sql = "(SELECT coun...
python防止sql注入
HideInTime的博客
04-14 3916
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
web_scan_code.zip_python_sql injection_sql注入_web scan_webscan
07-15
实现对网页的试错,判断后台数据库类型以及是否存在SQL注入的可能
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for ...
SQL住入原始脚本_SQL注入python脚本_
10-03
标题中的“SQL住入原始脚本”指的是利用SQL注入技术来编写或执行的原始SQL命令,而“SQL注入python脚本”则表明我们将探讨如何使用Python编写脚本来自动化这一过程。 SQL注入攻击主要有三种类型:直列注入、延时...
python如何防止sql注入_python防止sql注入方法
weixin_39947961的博客
12-03 535
python防止sql注入方法:1. 使用cursor.execute(sql, args)的参数位:sql_str = "select * from py_msgcontrol.py_msgcontrol_file_base_info where file_name = %s"args = ["12';select now();"]conn = pymysql.connect(**conn_d...
python使用mysql,防止SQL注入
最新发布
帅的飞起的博客
04-24 773
python使用mysql防止SQL注入
Python中如何防止sql注入
定期分享编程干货~
04-05 2369
 sql注入中最多见的就是字符串拼接,研发人员对字符串拼接应该引发重视,不该忽略。python   错误用法1:mysql     sql = "select id, name from test where id=%d and name='%s'" %(id, name)sql     cursor.execute(sql)微信   错误用法2:函数     sql = "select id, name from test where id="+ str(id) +" and name='"+.
python sql注入如何防止_如何防止sql注入Python中?
weixin_39777018的博客
12-03 218
在web漏洞当中,我想大家对于sql都不陌生,毕竟它可是web漏洞之首。sql注入是比较常见的网络攻击,它可以利用程序员编程出现疏忽时实现无账号登录甚至篡改数据库。在Python Web开发的过程都会使用到关系型的数据库,sql注入是就是通过这个而出现的。那么,我们需要怎么做来解决这个问题呢?又该采取什么样的方案来防止sql注入Python中呢?接下来小编就来分析讲解一下。sql注入产生的起因字...
sqlalchemy 执行原生sql语句
anzhang5248的博客
10-02 3374
1、方式一 # 查询 cursor = session.execute('select * from users') result = cursor.fetchall() # 添加 cursor = session.execute('insert into users(name) values(:value)', params={"value": 'abc'}) se...
python sql注入框架_python-SQLAlchemy + SQL注入
weixin_39837727的博客
12-09 209
添加到@Tendrid答案。 我使用安静的天真方法进行了一些调查。 *criterion方法具有*criterion作为其参数,其他几种ORM Query方法也具有类似的参数。如果是*criterion方法,则方法*criterion参数最终传递到_literal_as_text,如果是字符串,则将其标记为安全sql(如果我输入错误,请更正我)。 因此,这使其不安全。这是带有*criterion自...
pythonsql注入
love_parents的博客
09-10 3231
转载自: python SQL注入的解决办法 pythonsql注入 背景 APP爆出一个大Bug,只要在查询框内输入“%”,就会检索出所有的数据,最后有人给出了这样的解决方案,在前端进行验证,禁止用户输入“%”之类的特殊字符。 帅呆了!责任轻易地就甩给了前端! 我反问,如果百分号要进行禁止,那么“*&’“()”要不要进行禁止?“desc、select、from”等关键字要不要禁止?还有“+-”,正则表达式相关的符号要不要禁止?就算输入框禁止了,直接发送http请求又如何禁止?
python过滤sql_Python sql注入 过滤字符串的非法字符实例
weixin_39619270的博客
11-30 139
我就废话不多说了,还是直接看代码吧!#coding:utf8#在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符def sql_filter(sql, max_length=20):dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "", "+", "%", "$",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值