mysql占位符 防注入_PyMySQL防止SQL注入

最新推荐文章于 2024-06-01 18:13:57 发布
最新推荐文章于 2024-06-01 18:13:57 发布
阅读量445 收藏
点赞数
文章标签: mysql占位符 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42107491/article/details/113336093
版权

一、SQL注入简介

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

二、SQL注入攻击的总体思路

1.寻找到SQL注入的位置

2.判断服务器类型和后台数据库类型

3.针对不通的服务器和数据库特点进行SQL注入攻击

三、SQL注入攻击实例

1、字符串拼接查询,造成注入

importpymysql

conn= pymysql.connect(host=‘127.0.0.1‘, port=3306, user=‘root‘, passwd=‘‘, db=‘User‘)

cursor=conn.cursor()

username=input()password=input()

#正常构造语句的情况

sql = "select user,pwd from User where user=‘%s‘ and pwd=‘%s‘" %(username,password)

row_count=cursor.execute(sql)

row_1=cursor.fetchone()print(row_count, row_1)

conn.commit()

cursor.close()

conn.close()

其实用户可以这样输入实现免帐号登录:

username: ‘or 1 = 1 –-

password:

如若没有做特殊处理,那么这个非法用户直接登陆进去了.

当输入了上面的用户名和密码,服务端的sql就变成:

sql = "select user,pwd from User where user=‘‘or 1 = 1 –-‘ and pwd=‘%s‘"

因为条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

解决方法:

1、使用pymysql提供的参数化语句防止注入

2b65ef29a5872cc0e4771c25889edd04.gif

6a087676c59fa8b19d76e6bb55a32902.gif

#! /usr/bin/env python#-*- coding:utf-8 -*-

importpymysql

conn= pymysql.connect(host=‘127.0.0.1‘, port=3306, user=‘root‘, passwd=‘‘, db=‘User‘)

cursor=conn.cursor()

username=input()

password=input()#执行参数化查询

row_count=cursor.execute("select user,pwd from User where user=‘%s‘ and pwd=‘%s‘",(username,password))#execute()函数本身就有接受SQL语句变量的参数位,只要正确的使用(直白一点就是:使用”逗号”,而不是”百分号”)就可以对传入的值进行correctly转义,从而避免SQL注入的发生。

#内部执行参数化生成的SQL语句,对特殊字符进行了加\转义,避免注入语句生成。#sql=cursor.mogrify("select user,pwd from User where user=‘%s‘ and pwd=‘%s‘" ,(username,password))#print (sql)

row_1=cursor.fetchone()print(row_count,row_1)

conn.commit()

cursor.close()

conn.close()

View Code

注意:excute执行SQL语句的时候,必须使用参数化的方式,否则必然产生SQL注入漏洞。

2、使用存mysql储过程动态执行SQL防注入

使用MYSQL存储过程自动提供防注入,动态传入SQL到存储过程执行语句。

2b65ef29a5872cc0e4771c25889edd04.gif

6a087676c59fa8b19d76e6bb55a32902.gif

delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql (innid1 INT,innid2 INT,in callsql VARCHAR(255)

)

BEGIN

set @nid1=nid1;

set @nid2=nid2;

set @callsql=callsql;

PREPARE myprod FROM @callsql;-- PREPARE prod FROM ‘select * from tb2 where nid>? and nid‘; 传入的值为字符串,?为占位符--[email protected],[email protected]

EXECUTE myprod USING @nid1,@nid2;

DEALLOCATE prepare myprod;

END\delimiter ;

View Code

set @nid1=12;

set @nid2=15;

set @callsql= ‘select * from User where nid>? and nid‘;

CALL proc_sql(@nid1,@nid2,@callsql)

pymsql中调用

2b65ef29a5872cc0e4771c25889edd04.gif

6a087676c59fa8b19d76e6bb55a32902.gif

#! /usr/bin/env python#-*- coding:utf-8 -*-

importpymysql

conn= pymysql.connect(host=‘127.0.0.1‘, port=3306, user=‘root‘, passwd=‘‘, db=‘User‘)

cursor=conn.cursor()

mysql="select * from User where nid>? and nid"cursor.callproc(‘proc_sql‘, args=(11, 15, mysql))

rows=cursor.fetchall()print (rows #((12, ‘u1‘, ‘u1pass‘, 11111), (13, ‘u2‘, ‘u2pass‘, 22222), (14, ‘u3‘, ‘u3pass‘, 11113)))

conn.commit()

cursor.close()

conn.close()

View Code

原文:http://www.cnblogs.com/freely/p/6798717.html

蓝色山脉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySQL8.0 及 SQL 注入
php_xml的博客
09-10 1140
2020年9月10日10:10:20 MySQL 及 SQL 注入 如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中
#{} 和 ${} 及SQL注入
lzpyy的博客
10-25 221
执行SOL时,会将替换为?,生成预编译SQL,会自动设置参数值#{}#{}
【Python从入门到进阶】56、Mysql防止SQL注入及ORM库简化操作
最新发布
程序猿之洞
06-01 840
SQL注入攻击发生在用户输入被直接拼接到SQL查询语句中,而没有被适当地验证或转义。攻击者可以构造特殊的输入,使得原本用于筛选或检索数据的SQL语句变得具有破坏性。如果$username或$password变量直接来自用户输入,并且没有经过适当的验证或转义,那么攻击者可以通过输入类似' OR '1'='1的值来绕过身份验证。ORM库的主要目标是实现数据库表与编程语言中的类之间的映射。在ORM中,数据库表被映射为类,表中的行被映射为类的实例(对象),而列则被映射为对象的属性。
mysql占位符 注入_为什么占位符可以防止sql注入
weixin_33232550的博客
01-20 259
public void setString(int parameterIndex, String x) throwsSQLException {//if the passed string is null, then set this column to nullif (x == null) {setNull(parameterIndex, Types.CHAR);}else{StringBuff...
mysql占位符 注入_mybatis是如何防止SQL注入的(转)
weixin_28946193的博客
02-02 944
select id, username, password, role from user where username = #{username,jdbcType=VARCHAR} and password = #{password,jdbcType=VARCHAR} select id, username, password, role from user where username = $...
MySQL数据库SQL注入原理
08-28 164
每个语言都有自己的数据库框架或库,无论是哪种语言,哪种库,它们在数据库注入方面使用的技术原理无外乎下面介绍的几种方法。 一、特殊字符转义处理 Mysql特殊字符指在mysql中具有特殊含义的字符,除了%和_是mysql特有的外,其他的和我们在C语句中接触的特殊字符一样。 特殊字符 转义字符 特殊意义 \0 \\0 字符串结束符NUL ' \' 单引号 " \"...
pymysql 解决 sql 注入问题
居士的CSDN
11-08 1310
1. SQL 注入 SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。 例如,下面这段代码通过获取用户信息来校验用户权限: import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = ' ...
pymysql如何解决sql注入问题深入讲解
09-09
pymysql提供了参数化语句的功能,通过占位符`%s`配合参数列表来构建SQL语句,这使得数据库能正确地处理用户输入,避免SQL注入。下面是一个示例: ```python import pymysql sql = 'SELECT count(*) as count FROM ...
Python中防止sql注入的方法详解
09-21
除了使用Python自带的库外,还可以考虑引入第三方库,如`psycopg2`(适用于PostgreSQL)或`pymysql`(适用于MySQL),它们通常提供了更为强大的SQL注入护功能。 **示例代码**: ```python import pymysql def ...
pyMySQL SQL语句传参问题,单个参数或多个参数说明
12-17
在这个例子中,`%s`是一个格式化字符串的占位符,`% field`是将变量`field`的值替换到`%s`的位置。这种方式简单直观,但需要注意的是,如果`field`包含特殊字符,需要进行转义,否则可能导致SQL语句执行错误。 2. ...
mysql.rar_MYSQL_python_python mysql_python数据库
09-21
1. **预编译语句(Prepared Statements)**:可以防止SQL注入,提高执行效率,通过占位符(如%s)来代替具体的值。 2. **事务(Transactions)**:用于确保数据的一致性,支持ACID(原子性、一致性、隔离性、持久性...
浅谈pymysql查询语句中带有in时传递参数的问题
12-17
这里的`%s`是一个占位符,`pymysql`会使用提供的参数(在这里是`img_ids`列表)来替换它。关键在于,当我们传递参数时,需要将列表`img_ids`包裹在一个元组中,这样`pymysql`才能正确地将列表转换为SQL查询所需的...
mysql注入 博客园_PyMySQL防止SQL注入
weixin_42519489的博客
02-05 216
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字符串拼接查询,造成注入import pymysqlconn =...
sql如何封装json_什么是SQL注入?如何预
weixin_29838911的博客
01-16 353
SQL注入是项目开发中很重要的一个概念,初级中级面试的概率非常高,需要重点掌握!喜欢听我叨叨的,直接点击看视频1 准备工作本次演示使用的是目前最热门的Java快速开发架构:SpringBoot2.3.4 + Mybatis + Mysql8先准备一张测试表:drop table if exists `test`; create table `test` ( id bigint not null...
占位符是如何防止sql注入的?
单炒饭
08-03 2841
作者:eechen 链接:https://www.zhihu.com/question/43581628/answer/153629026 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。   因为prepare是把SQL模板发给MySQL编译,然后execute是把用户输入的参数交给MySQL套模板执行.PHP模拟预处理的意思就是数据库并不会有编译模板这一步,而...
pymysql 过滤sql注入
hllyzms的博客
09-10 719
传参注入 import pymysql user = input("username:") pwd = input("password:") conn = pymysql.connect(host="localhost",user='root',password='',database="db1") cursor = conn.cursor() sql = "select *...
java 连接mysql数据库方式汇总 占位符注入
热干面
02-14 1580
jdbc: 简单示例 方法四:直接连class都不用写,这样得出的东西是什么很好奇就是只是不获取driver? 看源码后发现: package java.sql.DriverManager; Applications no longer need to explicitly load JDBC drivers using Class.forName(). Existing programs which currently load JDBC drivers using Class.forName() wi
mysql的jdbc防止注入占位符_吐槽 MySQL数据库jdbc操作,varchar类型占位符问题——单引号造孽...
weixin_32484541的博客
02-08 258
【声明】 欢迎转载,但请保留文章原始出处→_→ 生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/4050825.html 联系方式:smyhvae@163.com 【正文】很长时间不写代码动手能力明显下降很多常见的错误还是经常发生,今天吐血了一次。简单的坑总是要多跳几次才能甘心。很清晰...
python使用mysql防止SQL注入
帅的飞起的博客
04-24 792
python使用mysql防止SQL注入
python sql注入如何防止_PyMySQL如何防止用户遭受sql注入攻击?
05-24
Python中使用PyMySQL库连接MySQL数据库时,可以通过参数化查询的方式来避免SQL注入攻击。 具体来说,就是将SQL语句中的变量替换为占位符,并将变量的值作为参数传递给PyMySQL的execute()方法。例如: ``` import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值