sql注入攻击和django如何实现防止sql注入

最新推荐文章于 2024-05-08 21:24:58 发布
最新推荐文章于 2024-05-08 21:24:58 发布
阅读量5.2k 收藏 8
点赞数 1
分类专栏: Python框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39944891/article/details/96287267
版权

sql注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库。

Django中防止SQL注入的方法

方案一
总是使用Django自带的数据库API。它会根据你所使用的数据库服务器(例如PostSQL或者MySQL)的转换规则,自动转义特殊的SQL参数。这被运用到了整个Django的数据库API中,只有一些例外:
传给 extra() 方法的 where 参数。 (参考 附录 C。) 这个参数故意设计成可以接受原始的SQL。
使用底层数据库API的查询。

方案二
看下面的Python代码:

from django.db import connection
 
def user_contacts(request):
    user = request.GET['username']
    sql = "SELECT * FROM user_contacts WHERE username = %s"
    cursor = connection.cursor()
    cursor.execute(sql, [user])

# ... do something with the results

请注意在cursor.execute() 的SQL语句中使用“%s”,而不要在SQL内直接添加参数。 如果你使用这项技术,数据库基础库将会自动添加引号,同时在必要的情况下转意你的参数。

zhangliang_852469
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
django项目数据库操作防注入
mermanangel的博客
05-27 375
django项目数据库操作防注入 在使用django项目开发web项目的时候,尽量不要直接使用SQL语句,因为如果直接使用SQL的话,很容易被注入攻击。 当然,如果你自认为安全性很强,不需要,那也无所谓。 建议使用django中的models功能。 例如,如果想要建立一张课程信息数据表,通常情况下我们可以使用如下的SQL create table course(id int(10) primary key auto_increment, name varchar(255) not
Web攻防之XSS,CSRF,SQL注入
weixin_30536513的博客
03-11 397
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞中常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入,XSS,CSRF 1.SQL注入   所谓SQL注入攻击,就是攻击者把SQL命令插入到W...
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 代码块
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
网络安全领域___专研者.
05-08 678
Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
Django中如何防御sql注入?
love_521_的博客
03-17 1221
1,使用orm操作数据库增删改查:因为orm采用的是参数化形式执行sql语句. 2,如果万一要执行原生sql语句,建议不要拼接url,而是使用参数化的形式.
django防止sql注入
weixin_33796177的博客
07-27 547
为什么80%的码农都做不了架构师?>>> ...
Django_CVE-2020-9402_Geo_SQL注入分析1
08-03
Django_CVE-2020-9402_Geo_SQL注入分析 Django 框架是一个流行的 Python Web 框架,它提供了许多实用的功能,包括 GIS( Geographic Information System)查询功能。然而,在 Django 中的 GIS 查询中存在一个_sql ...
Django如何实现防止XSS攻击
12-16
SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 PS: 把用户输入的数据以安全的形式显示,那只能是在页面上显示字符串。 django框架中...
Django的模型中执行原始SQL查询的方法
09-21
注意在SQL字符串中使用`%s`作为占位符,然后传递一个参数列表,这样可以避免SQL注入攻击Django会自动处理参数的转义和引用。 如果你不想在视图代码中直接使用这些原始SQL查询,可以将它们封装到自定义的模型管理...
基于Python入侵检测IDS系统2.0框架 html + css + jquery + python 3.9 +django
最新发布
05-19
基于Python入侵检测IDS系统2.0 框架 html + css + jquery + python 3.9 + django+ scapy...常见的一些攻击方式sql,xss,csrf,ssrf,arp,ddos 后期有时间的话本人会1 00更新一个实时监控的ids/ips防火墙 先获取网络信息,
django框架防止XSS注入的方法分析
09-19
主要介绍了django框架防止XSS注入的方法,结合实例形式分析了XSS攻击的原理及Django框架防止XSS攻击的相关操作技巧,需要的朋友可以参考下
【安全】(三)DjangoSQL注入防御
财迷的博客
03-01 5724
Django中如何防御SQL注: Django自带的ORM查询在进行数据访问时,会根据使用的数据库服务器(例如:MySql)的转换规则,自动转义特殊的SQL参数。注意有一个方法另外extra(),这个方法接受原始的SQL。
sql注入,利用漏洞django-cve_2019_14234
m0_65385236的博客
05-13 225
1、JSONField简介   Django是一个大而全的Web框架,其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。 相比于Mysql,Postgresql支持的数据类型更加丰富,其对JSON格式数据的支持也让这个关系型数据库拥有了NoSQL的一些特点。在Django中也支持了Postgresql的数据类型: JSONField Arr
djangosql注入
qq_37587785的博客
05-28 371
1.使用ORM 2.使用原始SQL-- raw
渗透攻防Web篇-DjangoSQL注入攻与防
jspython的博客
05-08 1368
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单...
Web攻防之SQL注入
午夜飞行
04-22 614
1.SQL注入   所谓SQL注入攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。   它能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中,SQL Injection
Django SQL注入 (CVE-2022-28346)
weixin_46801402的博客
11-01 1082
Django SQL注入 (CVE-2022-28346)
Djangosql注入,XSS攻击,CSRF攻击原理及防护
time
06-21 5741
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
Python objects.extra防止sql注入
05-24
这种方法可以防止SQL注入攻击,因为查询中的所有值都是参数,而不是字符串拼接。 另一种方法是使用Django的内置转义函数来转义用户输入的值。例如: ```python from django.db.models.functions import Cast from ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值