python过滤sql_Python防止sql注入

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量323 收藏
点赞数
文章标签: python过滤sql

看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python

最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话:

Note that the placeholder syntax depends on the database you are using

'qmark' Question mark style, e.g. '...WHERE name=?'

'numeric' Numeric, positional style, e.g. '...WHERE name=:1'

'named' Named style, e.g. '...WHERE name=:name'

'format' ANSI C printf format codes, e.g. '...WHERE name=%s'

'pyformat' Python extended format codes, e.g. '...WHERE name=%(name)s'

我理解,就是有多种占位方式,而我一棵树上吊死,光试验%s了,所以每次都报这个错:

rs=c.execute("select * from log where f_UserName=%s","jetz")

OperationalError: near "%": syntax error

换一个试试,

rs=c.execute("select * from log where f_UserName=:usr",{"usr":"jetz"})

可以

再试:

rs=c.execute("select * from log where f_UserName=:1 ",["jetz"])

也可以

看了sqlite对%比较过敏

对于sql注入的测试效果。

1)用构造串的方式,传递用户名

getData("select * from log where f_UserName='%s'"%("jetz"))

如果传递的是测试表名存在的串,可以执行

getData("select * from log where f_UserName='%s'"%("jetz' And (Select count(*) from user)<>0 and '1'='1"))

但是,如果改用参数方式,则不能执行

getData("select * from log where f_UserName=:1","jetz' And (Select count(*) from user)<>0 and '1'='1")

这种近乎“原生”的防止注入手段,比对传入参数进行检测来说,实在好太多了。

weixin_39581964
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python过滤sql_Python sql注入 过滤字符串的非法字符实例
weixin_39724287的博客
02-11 380
我就废话不多说了,还是直接看代码吧!#coding:utf8#在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符def sql_filter(sql, max_length=20):dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "", "+", "%", "$",...
python过滤sql_python防止sql注入的方法
weixin_39641236的博客
11-30 372
python防止sql注入的方法:1. 使用cursor.execute(sql, args)的参数位:sql_str = "select * from py_msgcontrol.py_msgcontrol_file_base_info where file_name = %s"args = ["12';select now();"]conn = pymysql.connect(**conn_d...
Python从入门到进阶】56、Mysql防止SQL注入及ORM库简化操作
最新发布
程序猿之洞
06-01 760
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
Python sql注入 过滤字符串的非法字符
aini4568的博客
07-26 157
#coding:utf8 #在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符 def sql_filter(sql, max_length=20): dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "<", ">",...
python过滤sql_Python-SqlAlchemy:通过大圆距过滤查询?
weixin_39718890的博客
12-04 89
I am using Python and Sqlalchemy to store latitude and longitude values in a Sqlite database. I have created a hybrid method for my Location object,@hybrid_methoddef great_circle_distance(self, other)...
Python库 | sql_metadata-1.10.0-py3-none-any.whl
02-19
`sql_metadata` 是一个Python库,专注于处理SQL数据库的相关元数据。这个库的版本是1.10.0,以`.whl`格式提供,这是一个Python的二进制分发包,用户可以直接安装,无需编译。`.whl`文件的命名遵循PEP 427,表明该...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SQL.zip_python sql_python 解析sql_pythonSQL解析_python解析sql_sql 解析
09-20
- 查询结果再通过`read_sql_query()`或`read_sql_table()`函数转换回DataFrame,便于进一步的数据处理和分析。 6. **测试和实例**: - `test3.py`可能包含了实现这些功能的代码,可能包括读取Excel文件,使用`...
Python防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python防止sql注入的方法,需要的朋友可以参考下。
SQL SERVER python.rar_python SQL Server_python sql server_pytho
09-21
Python还支持使用参数化查询来防止SQL注入攻击,如下所示: ```python id_to_find = 123 sql_query = "SELECT * FROM your_table_name WHERE id = ?" cursor.execute(sql_query, (id_to_find,)) row = cursor....
python Web安全之防止SQL注入
Fantasy_worm的博客
01-03 3735
伴随着Web2.0、社交网络、微博等一系列新型互联网产品的兴起,基于Web环境的互联网应用越来越广泛,Web攻击的手段也越来越多样,Web安全史上的一个重要里程碑是大约1999年发现的SQL注入攻击,之后的XSS,CSRF等攻击手段愈发强大,Web攻击的思路也从服务端转向了客户端,转向了浏览器和用户。 在安全领域,一般用帽子的颜色来比喻黑客的善与恶,白帽子是指那些工作在反黑客领域的技术专家,这个...
Python 与 MySQL 进行增删改查的操作以及防止SQL注入
LoadingCreate的博客
06-03 1051
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python防止 SQL 注入的方式,通过使用占位符、参数化查询和过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。
python过滤sql_python-SqlAlchemy-按关系属性过滤
weixin_36012511的博客
02-11 130
我在SQLAlchemy方面没有太多经验,并且有一个我无法解决的问题。 我尝试搜索,并且尝试了很多代码。这是我的课程(简化为最重要的代码):class Patient(Base):__tablename__ = 'patients'id = Column(Integer, primary_key=True, nullable=False)mother_id = Column(Integer, Fo...
python flask框架,在请求前加入参数过滤防止sql注入
SecondRound93的博客
06-05 3578
对web服务发起请求时,传入的参数中可能含有对数据库不利的操作,即sql注入 在flask框架中为了防止sql注入,在请求之前可以加一层参数过滤 在app.py中添加以下代码: @app.before_request def before_request(): #假设是post请求,data为传入的请求参数 data =request.json for v in data.values(): v= str(v).lower() pattern = r"
python过滤sql文件内容_PythonSQL数据库文件的基本操作(连接、读取、统计、过滤),python,sql,筛选...
weixin_42350606的博客
02-11 509
一、导入数据库相关的包。我们需要处理数据库,需要用到sqlite3和pandas两个数据库,使用import语句进行导入:import sqlite3import pandas as pd二、数据库的连接和读取我们需要使用sqlite3.connect()方法来连接数据库,通过连接,我们就可以用sql的select语句来读取数据库中的数据了。注意我们这里调用的pd.rea_dql_query的方法...
防止sql注入过滤
qq_32512945的博客
05-23 1366
package com.tgisserver.cloud.jpamanager.common.filter; import java.io.IOException; import java.util.Enumeration; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.ser
对比SQLPython:筛选|条件判断
Sukey666666的博客
05-16 530
Python里实现筛选的方式比较多样,用到了 与&或|非~ 逻辑运算符,和isin()函数等
python防止sql注入
HideInTime的博客
04-14 3919
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
python防止sql注入的代码示例
11-01
为了防止SQL注入攻击,我们可以使用Python中的参数化查询。下面是一个Python防止SQL注入攻击的代码示例: ``` import mysql.connector # 连接数据库 mydb = mysql.connector.connect( host="localhost", user=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值