python入侵数据库数据库_python操作mysql数据库,以及注意sql注入

最新推荐文章于 2022-08-29 06:43:52 发布
最新推荐文章于 2022-08-29 06:43:52 发布
阅读量292 收藏
点赞数
文章标签: python入侵数据库数据库

使用python操作mysql的逻辑如下图所示。基本过程为:1、开始;2、创建连接connection;3、创建并获取操作游标cursor;4、执行操作;5、关闭游标cursor;6、关闭连接; 7、结束。下面我们举一个简单例子s1python_mysql_sample.py 来实现向goods_cates表里插入两行数据:(0,'硬盘'),(0,'光盘')。

import pymysql # 1、导入pymsql模块

# connect对象用于建立连接

# host:mysql主机

# port: mysql端口默认3306

# database:数据库名称

# user: 用户名

# password: 密码

# charset: 通信编码

# 2、创建连接,设置连接ip,port,用户,密码,以及所要连接的数据库

conn = pymysql.connect(host='localhost', port=3306,database='jing_dong', user='root', password='hitzzy',

charset='utf8')

# cursor对象用于执行SQL语句

# 3、创建游标, 操作数据库, 指定游标返回内容为字典类型

cs1 = conn.cursor()

# 4、执行语句 execute(),返回受影响的行数结果。

count = cs1.execute('insert into goods_cates(name) values("硬盘")')

print(count)

count = cs1.execute('insert into goods_cates(name) values("光盘")')

print(count)

# 5、提交操作

conn.commit()

# 6、关闭游标和连接

cs1.close()

conn.close()

运行程序后,通过mysql终端查询语句查询goods_cates表,我们会发现,末尾已经添加了两行我们刚才添加的数据。

** (注意SQL注入)**

'''sql注入'''

import pymysql

def main():

find_name = input('请输入物品名称:') # 输入想要查询的物品名称

# print('select * from goods where name like %{}%' .format(find_name))

# 创建连接

conn = pymysql.connect(host='localhost', port=3306,database='jing_dong', user='root', password='hitzzy',

charset='utf8')

# 获取游标

cs1 = conn.cursor()

# 执行select语句,并返回受影响的行数:查询所有数据

# 安全模式

count = cs1.execute('select * from goods where name=%s', [find_name])

# 非安全模式

# 当find_name 被输入 " or 1 or " 包含双引号时,会显示表中所有数据,造成数据泄露。

# sql = 'select * from goods WHERE name="%s"' % find_name

# count = cs1.execute(sql)

print('查询到%d条数据:' % count)

# 获取并打印查询到的数据

for i in range(count):

# fetchone()执行查询语句时获取被影响的行的第一行

result = cs1.fetchone() # result 为一个元组哦

# print(type(result)) # 可以查看result的数据类型,加深理解

print(result)

# 关闭游标和连接

cs1.close()

conn.close()

if __name__ == '__main__':

main()

可以看到,当输入 x240 超极本,查询到此商品在库,并打印出该结果。

不要着急,我们把代码中安全模式的行注释掉,将非安全模式的行取消注释,然后再次输入 x240 超极本。我们也能查询到该商品信息。也就是说,execute里可以是一个SQL语句的字符串。那为什么还需要前面语法介绍的参数赋值呢?

再查询一种商品(“ or 1 or ”),再看看结果。奇怪,goods表中所有的数据都显示出来了。为什么呢?我们来分析一下。当把(“ or 1 or ”)赋值给find_name时,sql字符串变量的值为 select * from goods where name="“ or 1 or ”";大家看一下,where后的语句结果始终为True。所以会显示出goods表中所有数据,造成数据库数据泄露。因此在使用execute语句时,尽量使用安全模式中的参数化赋值,以避免因疏忽造成的SQL注入并引发安全问题。

sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。

错误用法1:

sql= "select id, name from test where id=%d and name='%s'" %(id, name)

cursor.execute(sql)

错误用法2:

sql= "select id, name from test where id="+ str(id) +"and name='"+ name +"'"cursor.execute(sql)

正确用法1:

args=(id, name)

sql= "select id, name from test where id=%s and name=%s"cursor.execute(sql, args)

execute()函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。

正确用法2:

name=MySQLdb.escape_string(name)

sql= "select id, name from test where id=%d and name='%s'" %(id, name)

cursor.execute(sql)

python模块MySQLdb自带针对mysql的字符转义函数escape_string,可以对字符串转义。

weixin_39610229
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chatgpt赋能pythonPython如何在SEO中入侵网站?
xuhss_com的博客
06-11 107
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
python入侵数据库数据库_一个简单的Python访问Mysql数据库例子
weixin_39562615的博客
01-29 168
2020/11/3操作记录搭建好Python的数据环境之后,接下来就是在Python代码中访问数据库我先在Navicat图形化界面创建一个数据库命名为pythontest,再在数据库中创建了一个表studentinfo有nid,nname,ngrade,nage四个字段,nid为主键递增。通过查询编辑器向表中插入一条数据insert into studentinfo(name,ngrade,nag...
python入侵数据库数据库_Python操作远程数据库
weixin_39899244的博客
12-03 136
我的项目要往数据库中插入create_time和update_time,那就势必要引用现在的系统时间,经过大量的查找,终于发现往python是没有对应时间datetime的相关通配符的,那么我们要怎么实现呢。其实很简单,我们只需要把datetime转换成字符串类型的就行def insertIntoChannel(self, user):conn = JDBCUtils.getConnection(...
python入侵数据库数据库_Python抓拍博客园文章,并存入数据库
weixin_36087895的博客
01-29 190
在学习python后,想做个爬虫,抓取博客园文章。爬虫思路很简单,模拟浏览器访问网页,得到网页的html代码,再根据页面结构,从html中提取自己需要的内容。本文代码主要分为3个部分:1、读取博客园首页文章链接。https://www.cnblogs.com/是博客园的首页,列出了文章,分析页面内容,读取文章的链接。这需要看页面的结构,可以使用浏览器,再浏览页面代码,选择元素,看界面上选中哪一部分...
为什么preparedstatement能防止sql注入_使用Python防止SQL注入攻击的实现示例
weixin_39614704的博客
11-22 383
文章背景每隔几年,开放式Web应用程序安全项目就会对最关键的Web应用程序安全风险进行排名。自第一次报告以来,注入风险高居其位!在所有注入类型中,SQL注入是最常见的攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的那么在写这篇文章的时候我也是查询了国内外很多资料,最后带着问题去完善总结:什么是Python...
sql_CONNECT.zip_MYSQL_mysql python_python sql_python 数据库_python
最新发布
09-24
MYSQL_mysql python_python sql_python 数据库_python数",这里提到了几个关键概念:SQL(Structured Query Language,结构化查询语言)、MySQL(一种流行的关系型数据库管理系统)、Python(编程语言)、以及Python...
Python_mysql.rar_MYSQL_python mysql_python数据库_数据库 python_数据库pyth
07-14
这篇文档将深入探讨如何在Python环境中配置MySQL数据库连接,并演示基本的数据库操作。 首先,我们需要安装PythonMySQL连接器,通常使用`mysql-connector-python`库。这个库允许Python程序与MySQL服务器进行通信...
mysql.rar_MYSQL_python_python mysql_python数据库
09-21
6. **数据库元数据**:如获取表结构、列信息等,可以帮助开发者更好地理解和操作数据库。 综上所述,这个压缩包中的文件涉及到使用Python(可能通过MySQLDB库)连接和操作MySQL数据库的基础知识,包括建立连接、...
python-mysql.zip_MYSQL_pymysql_python MySQL_python连接mysql_连接数据库
07-13
`pymysql`是Python连接MySQL数据库的一个重要工具,它提供了类似Python标准库`DB-API`的接口,使得开发者可以方便地进行SQL查询和数据操作。在Python项目中,如果你需要与MySQL数据库交互,`pymysql`是一个理想的...
Mysql.zip_lovecjc_python_python mysql_python数据库_strength5n7
09-23
这个名为"Mysql.zip_lovecjc_python_python mysql_python数据库_strength5n7"的压缩包文件似乎包含了一个关于如何使用Python连接和操作MySQL数据库的示例或教程。 首先,我们需要了解Python中与MySQL交互的库——`...
python导入mysql数据库_安全检查中...
weixin_39841136的博客
11-24 27
+((!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+[])+(!+[]+(!![])+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![])+(!+[]-(!![]))+(!+[]+(!![])+!![]+!![])+(+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![])+(!+[]+(!...
数据库入侵方法
Aspstudy与你一起学习ASP ......
03-08 6988
一般的web server都要使用数据库来存储信息,几乎所有的网站都要用数据库。这样就存在着两种可能,一种是使用小型数据库,如aceess,一般就储存在本地。另一种是使用大型数据库,如SQL server,Oracle这时候一般就放在另一台机器上,然后通过ODBC来访问它。 由于页面经常需要查询各种信息,修改用户信息等操作,实质上就是和数据库打交道了。这样就给非法用户留下利用的机会了。 1.对本地
python数据库做出操作
01-25 189
import pymysql #连接数据库 conn = pymysql.connect( host='localhost', port=3306, user='root', passwd='xulei111', db='qq绑', charset='utf8', ) cursor = conn.cursor() for i in range(6,84): f = open('D:\BaiduNetdiskDownload\ll\QB ('+str(i)+').txt'
python如何入侵服务器的_通过redis入侵服务器的步骤
weixin_42524276的博客
01-12 555
通过redis入侵服务器的原理是:利用了redis默认配置,许多用户没有设置访问的key。然后通过向redis把自己的公钥写入到redis,然后利更改redis的数据库文件配置,把数据写入到认证文件。形成免密码登陆。一,生成本地ssh公钥ssh-keygen二,先连接redis看看telnet 192.168.15.10 6379redis-cli -h 192.168.15.10三, 清一下re...
python网络攻击总参三部_python利用scapy模拟数据包及常见的攻击
weixin_39554170的博客
11-22 346
scapy是python写的一个功能强大的交互式数据包处理程序,可用来发送、嗅探、解析和伪造网络数据包,常常被用到网络攻击和测试中。这里就直接用python的scapy模块开始搞了。这里是arp的攻击方式,你可以做成arp攻击#!/usr/bin/python"""ARP attack"""import sys, osfrom scapy.all import *if os.geteuid() !...
python渗透_python渗透库大集合
weixin_39910963的博客
12-04 921
l Scapy:一款强大的交互式数据报分析工具,可用作发送、嗅探、解析和伪造网络数据包。l pypcap、Pcapy和pylibpcap:配合libpcap一起使用的数据包捕获模块l libdnet:底层网络工具,含接口查询和以太网帧传输等功能l dpkt:可以快速简单地创建或解析数据包l Impacket:制作和解码网络数据包,支持NMB和SMB等高级协议l pynids:封装了libnids,...
用Winsock实现对网站数据库的数据注入
04-03 1276
作者:JsuFcz 文章来源:焦点 作者个人主页地址:http://jsufcz.21xcn.net/在写这篇文章之前,有必要对"注入"一词阐述一下。区别于通常的SQL注入,这里的注入实际上只是构造HTTP请求报文,以程序的方式代替WEB提交页面,实现数据的自动提交。嘿嘿,说到这,我看到你诡异的笑容了,我们只要写个循环,用什么语言你说了算,向特定的WEB页面发送HTTP报文,只要几分钟,呵呵他的本
实战复盘:内网环境入侵ms-SQL数据库
sfeiyan2的博客
08-29 1503
web服务器、ms-SQL服务器、PC客户端在同一个网络中,是一种危险的网络结构,入侵ms-SQL服务器,非常容易
入侵html数据库,教你如何暴库(网站入侵)
weixin_39831104的博客
06-05 3312
教你如何暴库(网站入侵)整理一些暴库知识原理:一、方式暴库的方式有多种多样,我知道的就有3种以上,常见的暴的方法有:%5c类暴,conn.asp暴,ddos暴等等二、原理"%5c"暴库法,它不是网页本身的漏洞,而是利用了IIS解码方式中的一个特性,如果IIS安全设置不周全,而网页设计者未考虑IIS错误,就会被人利用。为何要用"%5c"?它实际上是"\"的十六进制代码,也就是"\"的另一种表示法。在...
完整版 零基础学Python课件11 第11章 使用Python操作数据库.ppt
10-01
本文主要介绍了如何使用Python操作数据库,通过学习《零基础学Python课件11 第11章 使用Python操作数据库》的相关内容,我们了解到了Python操作数据库的基本原理和常用方法。首先,我们需要连接数据库,使用的参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值