pythonsql注入_Python预编译语句防止SQL注入

最新推荐文章于 2023-10-21 16:46:39 发布
最新推荐文章于 2023-10-21 16:46:39 发布
阅读量186 收藏
点赞数
文章标签: pythonsql注入

这个月太忙,最近不太太平,我的愿望是世界和平!

==================================

今天也在找python的预编译,早上写的sql是拼接来构成的。于是找了2篇文章,还不错,分享一下大家学习。

ps:直接引用别人的话了,因为他们说的已经很好了。

错误用法:

1 sql = "select id,type,name from xl_bugs where id = %s and type = %s" %(id, type)2 cur.execute(sql)

这种用法就是常见的拼接字符串导致sql注入漏洞的产生。看到这个突然想到上个礼拜drupal水滴的那个漏洞,其并不是预编译语句被绕过了。而是在构造带入的预编译语句的时候拼接了用户输入字符串,还未带入查询的预编译语句已经被注入了,之后带入正确的参数,最后被注入了

正确用法:

execute() 函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。

1 args =(id, type)2 cur.execute('select id, type ,name from xl_bugs where id = %s and type = %s', args )

使用如此参数带入方式,python会自动过滤args中的特殊字符,制止SQL注入的产生。

当然,这只是一篇文章,查了下另外一个,来对这个进行补充:

execute()函数本身就有接受SQL语句变量的参数位,只要正确的使用(直白一点就是:使用”逗号”,而不是”百分号”)就可以对传入的值进行correctly转义,从而避免SQL注入的发生。

example:

1 import sqlite32

3 con =sqlite3.connect(":memory:")4 cur = con.cursor()5 cur.execute("create tablepeople (name_last, age)")6

7 who ="Yeltsin"8 age = 72

9

10 # This isthe qmark style:11 cur.execute("insert into people values(?, ?)", (who, age))12

13 # And this isthe named style:14 cur.execute("select * from people where name_last=:who and age=:age", {"who": who, "age": age})15

16 print cur.fetchone()

本文参考信息:

http://xlixli.net/?p=377

https://crazyof.me/blog/archives/2224.html

weixin_39587010
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL语句预编译
yushui的笔记本
04-22 1万+
SQL语句预编译一、预编译SQL语句处理预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该
python 预编译sql_测试mysql的sql语句预编译效果
weixin_39765209的博客
12-22 493
玩Oracle的都比较关注shared pool,特别是library cache,在使用了绑定变量(预编译sql)之后确实能得到很大的性能提升。现在在转Mysql之后特别是innodb很多东西都还能和Oracle对得上号的,就像innodb_buffer_pool_size类似于Oracle的database buffer cache,innodb_log_buffer_size类似于redo ...
Python 预编译SQL
最新发布
wangweicrazyboy的博客
10-21 230
看来优化的王道还是尽量减少sql的执行次数,比方说,把一条条的执行修改为 userid in (一批userId)。按道理说预编译在进行批量执行的时候,速度会提升才对,但是经过实际测试:1000条用户数据,同样的sql语句。第二段采用预编译的执行时间是40秒。预编译的速度竟然慢了这么多。在python中经常执行批量sql查询命令,原先采用的包是MysqlDB这个,第一段代码执行时间 均值是 19秒,
python 预编译sql,在python中使用带有MySQL的预处理语句
weixin_42134054的博客
12-22 463
I am trying to use SQL with prepared statements in Python. Python doesn't have its own mechanism for this so I try to use SQL directly:sql = "PREPARE stmt FROM ' INSERT INTO {} (date, time, tag, powe...
使用Python防止SQL注入攻击的实现示例
01-20
文章背景 每隔几年,开放式Web应用程序安全项目就会对最关键的Web应用程序安全风险进行排名。自第一次报告以来,注入风险高居其!在所有注入类型中,SQL注入是最常见的攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的 那么在写这篇文章的时候我也是查询了国内外很多资料,最后带着问题去完善总结: 什么是Python SQL注入以及如何防止注入 如何使用文字和标识符作为参数组合查询 如何安全地执行数据库中的查询 文章演示的操作适用于所有数据库,这里的示例使用的是PG,但是效果跟过程可以在其他数
Python实现自动sql注入
07-26
使用参数化查询(Prepared Statements):使用预编译SQL语句参数绑定,而不是直接将用户输入拼接到SQL查询中。这样可以防止恶意代码通过用户输入来修改SQL查询的结构。 输入验证和过滤:对用户输入进行验证和...
第一节 SQL注入的原理-01
09-15
SQL注入是一种常见的Web应用安全漏洞,发生在Web应用程序使用用户输入数据构造SQL语句时,没有正确地对用户输入进行过滤和转义,导致攻击者可以 inject 恶意SQL代码,访问、修改或控制敏感数据。 解释型语言和编译...
基于 Antlr4 的 Hive SQL 解析.zip
04-29
基于 Antlr4 的 Hive SQL 解析.zip 大学生课程设计 课程设计 自己大二写的课程设计
DBMS的设计与实现
05-23
设计并实现一个DBMS原型系统,可以接受基本的SQL语句,对其进行词法分析、语法分析,然后解释执行SQL语句,完成对数据库文件的相应操作,实现DBMS的基本功能。
Linux系统下自行编译安装MySQL及基础配置全过程解析
12-15
安装依赖: CentOS: # yum -y install wget gcc-c++ cmake make bison ncurses-devel perl unzip Ubuntu:(使用ubuntu下面有不少需要root权限,请注意) 代码如下: # sudo apt-get install -y g++ gcc make ...
mysql变量绑定 python
imjtrszy的专栏
09-24 5318
mysql变量绑定 python预编译语句在数据库管理系统中,预编译语句或者叫参数语句是用来高效重复执行相同或相似语句的,这在SQL语句中有很典型的使用,比如说查询或更新语句预编译语句使用模板的形式,每次执行语句的时候就会替换相应的值。 典型的使用预编译语句的流程是这样的: 预编译:应用程序创建语句模板并发送给数据库管理系统(DBMS),特定的值是未确定的,叫做参数、占符或绑定变量(下面’?
Python中如何防止sql注入
luckygirlqiqiyu的专栏
10-28 4848
sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。
SQL语句预编译(查询)
qq_41676638的博客
07-09 5363
SQL语句预编译 SQL语句预编译能预防SQL注入提高安全性,是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为...
预编译sql
qq_40409115的博客
06-20 1485
package JDBC; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.util.Properties; /* * 改进DBUtil,使得connection不需要传参 * */ public class DBUtil2 { //数据...
MySQL的预编译语句的转义探究
9ian1i
04-24 2732
0x00 什么是预编译语句SQL语句,说到底也是一种类似于编程语言的东西,目的是让程序员更友好的操纵数据库,既然这样,它肯定也存在一个SQL语句的编译过程,将其转化为数据库所能执行的命令。顾名思义,预编译语句就是将需要执行SQL语句预先进行编译后缓存起来,下次使用的时候直接越过了编译这步,理论上是会比普通的SQL查询拥有更好的性能。我这里的重点不是关注它的性能,而是大家都说,预编译可以防止SQL注入
pythonsql注入_Python防止sql注入的方法详解
weixin_39834678的博客
11-30 416
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python防止sql注入的方法,需要的朋友可以参考下。前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Pyt...
python参数化查询_Python MySQL 使用预编译语句 执行参数化查询
weixin_34268462的博客
12-23 966
一、事故缘起今天构造了一个超过 50 多个参数的 SQL 插入语句,在执行的时候提示 Not all parameters were used in the SQL statement,提示「SQL 语句中未使用所有参数」的异常,但是前前后后检查了 SQL 语句,发现每个参数都是与相应的字段一一对应的,类似于下面这样的代码块:mydb = mysql.connect(...)cursor = my...
使用预编译语句是预防SQL注入的最佳方式
iteye_11305的博客
01-08 3509
sql预编译 定义 sql 预编译指的是数据库驱动在发送 sql 语句参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 为什么需要预编译 JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DB...
python如何防止sql注入
05-12
Python防止SQL注入的方法与其他编程语言类似,常见的方法包括以下几种: 1. 使用参数化查询(Prepared Statement):参数化查询可以预编译SQL语句,将参数SQL语句分离,避免将用户输入的数据直接拼接到SQL语句...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值