mysql存储过程 sql注入_pymysql如何解决sql注入问题深入讲解

最新推荐文章于 2024-08-08 11:46:49 发布
最新推荐文章于 2024-08-08 11:46:49 发布
阅读量763 收藏 2
点赞数
文章标签: mysql存储过程 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39629780/article/details/113949399
版权
本文探讨了SQL注入的原理及危害,重点介绍了如何使用pymysql的参数化语句防止SQL注入,以及在特定场景下MySQL存储过程在防止SQL注入中的作用,尽管存储过程存在维护和移植困难等问题。最后,提供了存储过程的编写和pymysql调用存储过程的示例。
摘要由CSDN通过智能技术生成

1. SQL 注入

SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。

即:因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。

产生原因:SQL语句使用了动态拼接的方式。

例如,下面这段代码通过获取用户信息来校验用户权限:

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = ' + str(input['id']) + ' AND password = "' + input['password'] + '"'

cursor = dbclient.cursor(pymysql.cursors.DictCursor)

cursor.execute(sql)

count = cursor.fetchone()

if count is not None and count['count'] > 0:

print('登陆成功')

但是,如果传入参数是:

input['id'] = '2 or 1=1'

你会发现,用户能够直接登录到系统中,因为原本 sql 语句的判断条件被 or 短路成为了永远正确的语句。

这里仅仅是举一个例子,事实上,sql 注入的方式还有很多种,这里不深入介绍了。

总之,只要是通过用户输入

最低0.47元/天 解锁文章
weixin_39629780
关注
清除SQL注入存储过程
01-15
一个很方便的清除SQL注入存储过程 只需要知道注入的代码就可以批量删除整个数据库中的注入代码 免去了一张表一张表去更改的麻烦
SQL注入原理讲解,很不错!
热门推荐
stilling2006的专栏
01-21 39万+
原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 1.1.1 摘要 日前,国内最大的程序员社区CSDN网站的用户数据库被黑客公开发布,600万用户的登录名及密码被公开泄露,随后又有多家网站的用户密码被流传于网络,连日来引发众多网民对自己账号、密码等互联网信息被盗取的普遍担忧。 网络安全成为了现在互联网的焦点,
【网络安全学习】SQL注入03:如何防止SQL注入
最新发布
Zane的博客
08-08 634
如何有效的防止SQL注入
mysql 存储过程 注入_mysql 视图 事务 存储过程 SQL注入
weixin_39967812的博客
01-19 152
视图视图的本质就是一张虚拟的表虚拟表:在硬盘中没有的,通过查询在内存中拼接的表视图:通过查询得到一张虚拟表,保存下来,下次可以直接使用为什么要用视图如果要频繁使用一张虚拟表,可以不用重复查询如何用视图create view teacher_course as select * from teacher inner join course on teacher.id=course.id;creat...
mysql 存储过程 注入_MySQL数据库(六) —— SQL注入攻击、视图、事物、存储过程、流程控制...
weixin_35598104的博客
01-19 315
SQL注入攻击、视图、事物、存储过程、流程控制一、SQL注入攻击1、什么是SQL注入攻击importpymysqlconn=pymysql.Connect(user="root",password="admin",host="localhost",database="day43",charset="utf8")cursor=conn.cursor(pymysql.cursors.DictCurso...
存储过程注入
TOMMY201112的博客
08-01 251
from : http://www.siteweavercms.cn/Item/113.aspx 由于存储过程中存在用于字符串连接的 + 号连接SQL语句,这就造成SQL注入的可能性. 下面一个例子: PR_UserManage_Users_BatchMove CREATE PROCEDURE [dbo].[PR_UserManage_Users_BatchMove] ( ...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
python-mysql.zip_MYSQL_pymysql_python MySQL_python连接mysql_连接数据库
07-13
`pymysql`是Python连接MySQL数据库的一个重要工具,它提供了类似Python标准库`DB-API`的接口,使得开发者可以方便地进行SQL查询和数据操作。在Python项目中,如果你需要与MySQL数据库交互,`pymysql`是一个理想的...
PY—MYsql.rar_MYSQL_pymysql什么功能_python_python 数据存储_truthf7w
09-24
Pymysql是Python连接MySQL数据库的一个库,它提供了与MySQL交互的能力,允许开发者通过Python编写代码来执行SQL查询,处理数据存储和检索任务。在这个“PY—MYsql.rar”压缩包中,我们很可能是找到了一个关于如何...
pymysql的使用,sql注入问题
Yydsaoligei的博客
08-18 815
pymysql的使用,sql注入问题, MySQL
MSSQL自身存储过程的一个注入.rar
07-09
MSSQL自身存储过程的一个注入
mysql 存储过程 sql注入_存储过程是否可以防止SQL注入
weixin_34198817的博客
02-27 2903
存储过程并不能神奇地阻止SQL注入,但是它们确实使防止注入变得容易得多。您所要做的只是类似以下内容(Postgres示例):CREATEORREPLACEFUNCTIONmy_func(INin_user_id INT)[snip]SELECTuser_id,name,addressFROMmy_tableWHEREuser_id=in_user_id;--BAM! SQL INJECTION I...
SQL注射检测之突破存储过程进行sql注入
老猫
12-23 1099
本博客已经转移到http://www.kexiangsoft.com(科翔工作室)
SQL高级注入使用之储存过程
weixin_34357962的博客
08-29 206
===================================== =====SQL高级注入使用之储存过程 ====== ===================================== 转载注来自:http://itpro.blog....
mysql 存储过程 注入_MySQL存储过程创建和调用
weixin_35253177的博客
01-27 111
一、MySQL存储过程_创建-调用1.1存储过程:SQL中的“脚本”1.创建存储过程2.调用存储过程3.存储过程体4.语句标签块二、MySQL存储过程简单介绍:存储过程(Stored Procedure):提示:#SQL语句:先编译后执行一组可编程的函数,是为了完成特定功能的SQL语句集,经编译创建并保存在数据库中,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。优点(为什么要用存储过...
mysql 存储过程 注入_mysql PDO和存储过程动态SQL注入
weixin_29385641的博客
01-19 159
正如我在许多文章中看到的那样,存储过程中的动态SQL容易受到SQL注入的攻击.但是,如果我们将先前的PDO与准备好的语句一起使用,这仍然不安全吗?例:CREATE PROCEDURE my_sp(IN in_var VARCHAR(32))BEGINDECLARE query VARCHAR(255);SET @query = CONCAT("SELECT * FROM my_table WHE...
sql 存储过程 盲注入_一次非常规 SQL 注入(informixsql)的利用过程
weixin_39969257的博客
12-09 277
介绍一个客户正在寻找升级他们的思科 UCM 软件,并希望保证他们的实现是安全配置的。在评估期间,我们在 Cisco UCM 管理员门户中发现了一个经过身份验证的 SQL 注入问题。在大多数情况下,可以使用 SQLMap 或其他工具来自动发现问题。由于我们是在客户端的开发环境中进行测试的,所以我们被允许对 Cisco UCM 执行更积极的攻击。我最初使用的 SQLMap 命令如下:root...
5-SQL注入问题及结局办法、视图、触发器、事务、存储过程(基本使用、三种开发模型、创建存储过程、如何使用存储过程)、mysql函数、流程控制、索引和联合索引
linjun的博客
07-14 156
5-SQL注入问题及结局办法、视图、触发器、事务、存储过程(基本使用、三种开发模型、创建存储过程、如何使用存储过程)、mysql函数、流程控制、索引和联合索引
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值