pythonsql注入_python使用mysql,sql注入问题

最新推荐文章于 2024-05-23 16:17:43 发布
最新推荐文章于 2024-05-23 16:17:43 发布
阅读量163 收藏 1
点赞数
文章标签: pythonsql注入

python使用mysql

importpymysql

conn=pymysql.connect(

host= '127.0.0.1', #连接地址

port = 3306, #端口

user = root, #用户名

password = '', #密码

database = 'db', #库名称

charset = 'utf8' #编码格式 utf8,不是utf-8

)

cursor= conn.cursor(pymsql.cursors.DictCursor) #产生一个游标,以字典的形式返回查询出来的数据,键是表的字段,值是表字段对应的信息

sql = select * from userinfo #写sql语句

cursor.execute(sql) #执行传入的sql语句

print(cursor.fetchone()) #拿到表中一条数据

print(cursor.fetchone())print(cursor.fetchone())

cursor.scroll(1,'absolute') #absolute绝对移动,前面数字写几,就相对于起始位置向后移动几位

cursor.srcoll(1,'relative') #relative相对移动,前面写几,就相对于当前位置向后移动几位

print(cursor.fetchall()) #拿到表中所有的数据

sql注入问题

conn =pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

username= input('请输入用户名:')

password= input('请输入密码:')

sql= "select * from userinfo where name = '%s' and password ='%s'" %s(username, password)

res=cursor.execute(sql)ifres:print(cursor.fetchall())else:print('账号或密码错误')

我们用上述一段代码诠释一下sql注入的问题, 当我们输入正确的账号密码的时候,发现可以正常打印字段数据,当我们输入错误账号或密码时,就显示账号密码错误

1636480-20190822211118555-458907377.png

1636480-20190822211130076-1419819438.png

以我们只知道用户名为例

1636480-20190822211537631-1078009674.png

竟然查到了用户的所有信息,这个是根据 -- 注释做到的sql注入

假如我们账号密码都不知道,那么如何用sql注入去获取网站的用户信息呢

1636480-20190822211708665-1556336257.png

在我们对账号密码毫不知情的情况下,我们使用or判断条件的成立,再加上 --注释,可以获取到网站所有的用户信息

根据以上两个问题我们应该如何解决呢?

conn =pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

username= input('请输入用户名:')

password= input('请输入密码:')

sql= "select * from userinfo where name = %s and password =%s"res=cursor.execute(sql,(username,password)) # execute可以自动识别sql语句中的%s,它可以帮助你过滤特殊的字符,避免sql注入的问题ifres:print(cursor.fetchall())else:print('账号或密码错误')

总结:

1.sql注入,就是利用注释等具有特殊意义的符号,来完成的

2.后续写sql语句时,不要手动去拼接关键性的数据,而是交由execute去拼接

python对mysql的增,改,删操作

importpymysql

conn=pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

sql= "insert into user(name,password) values('wu','123')" #插入,增

cursor.execute(sql)

conn.commit() 在新增时要写conn.commit()

importpymysql

conn=pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

sql= "update user set name='qazqaz' where id = 1" #修改

cursor.execute(sql)

conn.commit() #在修改时要写conn.commit()

importpymysql

conn=pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

sql= "delete from user where id = 1" #删除

cursor.execute(sql)

conn.commit()#在删除时要写conn.commit()

weixin_39633090
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入
acepanhuan的博客
02-09 506
SQL注入原理
PythonSQLMap:自动SQL注入和渗透测试工具示例详解
naer_chongya的博客
07-20 1800
在网络安全领域中,渗透测试是一项重要的任务。其中,SQL注入攻击是最常见的一种攻击方式之一。为了简化渗透测试过程中的繁琐操作,开发者们设计了各种自动化工具。其中,SQLMap是一款使用Python编写的强大工具,用于进行自动化的SQL注入和渗透测试。本文将详细介绍SQLMap的使用方法,包括Python语言环境的搭建、SQLMap的安装和配置、基本使用方法以及具体示例,以帮助读者更好地理解和运用这一强大的工具。
手把手教你用Python轻松玩转SQL注入
最新发布
菜鸟学识的博客
05-23 1164
大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。总的来说,SQL注入无非就是一段艰难险阻的路程,你可以发现但是别人也可以防御,虽然你发现要比较久的时间,但是人家防御却是很轻松,个人觉得得不偿失,不建议大家深入了解,只是做个简单的介绍了解下就好,至少你搜索技能因此而提高了不少吧。
Python安全之编写SQL注入漏洞利用脚本(EXP)
gaojian5422的博客
02-28 1471
本例中以靶机DVWA中的盲注为例。
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2158
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单中提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
SQL盲注之python脚本自动化注入
菜鸟学安全的博客
12-18 1339
sql盲注无法使用sql语句注入,需要大量的判断语句或者延时注入。这样手动注入方式比较慢,手动发现注入点后可以使用python编写脚本注入。
SQL住入原始脚本_SQL注入python脚本_
10-03
标题中的“SQL住入原始脚本”指的是利用SQL注入技术来编写或执行的原始SQL命令,而“SQL注入python脚本”则表明我们将探讨如何使用Python编写脚本来自动化这一过程。 SQL注入攻击主要有三种类型:直列注入、延时...
Python实现SQL注入检测插件实例代码
01-21
扫描器需要实现的功能思维导图 爬虫编写思路 首先需要开发一个爬虫用于收集网站的链接,爬虫需要记录已经爬取的链接和待爬取的链接,并且去重...MySQL 中是 SQL syntax.*MySQL Microsoft SQL Server 是 Warning.*mss
mysql.rar_MYSQL_python_python mysql_python数据库
09-21
1. **预编译语句(Prepared Statements)**:可以防止SQL注入,提高执行效率,通过占位符(如%s)来代替具体的值。 2. **事务(Transactions)**:用于确保数据的一致性,支持ACID(原子性、一致性、隔离性、持久性...
pymysql如何解决sql注入问题深入讲解
09-09
Python的pymysql库中,处理SQL注入问题至关重要,因为如果不加以防范,可能会导致敏感数据泄露或系统破坏。本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符...
sql_lab_第5关 Python源码SQL注入
04-25
SQLI-LAB是专门练习SQL注入的实验环境,最新有69道题涵盖了SQL注入的所有分类,相关下载链接:https://github.com/Audi-1/sqli-labs
pythonsql注入步骤_python 打造一个sql注入脚本 (一)
weixin_39809168的博客
11-30 499
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记:sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php当我们在网页执行访问了:http://127.0.0.1/sql.php?x=1在数据库其实是这样的$...
如何用python开发自动化SQL注入脚本
haoahaoahaoahao的博客
01-11 2077
当得到数据库名长度后,使用?id=1' and substr(database(),1,1)='字母'--+ 判断数据库名。print("%s数据库共有" % db_name + str(tab_num) + "张表")print("%s表下有%d个字段" % (tab_name, dump_num))# print("第%d的长度为%d"%(i,usn_len))# print("第%d的长度为%d"%(i,usn_len))print("[-]第%d张表名为: %s" % (i, tab_name))
pymysql使用sql注入问题
Yydsaoligei的博客
08-18 782
pymysql使用sql注入问题, MySQL
学习Python渗透第14天:用python实现sql注入
2203_75839317的博客
03-30 452
如果提交的参数1'and '1'='1的返回值为1,而提交的参数1' and '1'='2的返回值为0,就可以判断这个web应用程序存在sql注入漏洞了。首先我们来编写获取数据库名称的程序,分成两个步骤,首先计算数据库名称的长度,测试语句为1' and length(database())=n#,n是我们猜测的数字,这里假设最大为20.我们在判断提交了参数之后,是否有响应,可以通过requests.get()函数的返回值来确定,其中包含了,ID,Fir Name,Surname等等,就表明有响应。
python防止sql注入
HideInTime的博客
04-14 3907
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
sql注入python_Python--sql注入
weixin_39702799的博客
12-15 121
import pymysqlconn = pymysql.connect(host='211.149.218.16', user='jxz', password='123456', db='jxz', port=3306, charset='utf8')cur = conn.cursor(cursor=pymysql.cursors.DictCursor)name = 'zdq'sex = 0cu...
Python 数据库开发实战 - PythonMySQL交互篇②〗- SQL 注入攻击案例
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
PYTHON操作MYSQL时防止SQL注入
pi9nc的专栏
12-28 1万+
PYTHON操作MYSQL时防止SQL注入 分类: MySQL2011-09-15 10:04 1024人阅读 评论(0) 收藏 举报 sqlpythonmysqlstringjavascriptquery 下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHONMYSQL使用不了JAVA代码中提供的一
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击?
05-24
Python使用PyMySQL库连接MySQL数据库时,可以通过参数化查询的方式来避免SQL注入攻击。 具体来说,就是将SQL语句中的变量替换为占位符,并将变量的值作为参数传递给PyMySQL的execute()方法。例如: ``` import ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值