python注入sql_笔记:Python防止SQL注入

最新推荐文章于 2024-08-14 00:08:09 发布
最新推荐文章于 2024-08-14 00:08:09 发布
阅读量266 收藏
点赞数
文章标签: python注入sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42108948/article/details/112902793
版权
本文通过实例展示了Python中如何通过不安全的动态SQL拼接导致SQL注入问题,并详细介绍了如何使用参数列表来避免此类风险。通过参数化查询,可以确保即使输入包含特殊字符,也能正确执行SQL,提高代码的安全性。
摘要由CSDN通过智能技术生成

非安全的方式,使用动态拼接SQL

输入' or 1 = 1 or '1

sql ="""SELECT * FROM goods WHERE name = '%s';""" % find_name

from pymysql import connect

class JD(object):

def __init__(self):

# 创建connect连接

self.conn = connect(host='127.0.0.1', port=3306, user='root',

password='123456', database='jing_dong', charset='utf8')

# 获得cursor对象

self.cursor = self.conn.cursor()

def execute_sql(self, sql):

self.cursor.execute(sql)

for temp in self.cursor.fetchall():

print(temp)

def get_info_by_name(self):

"""根据名字查询一个商品"""

find_name = input('请输入想要查询的商品名称: ')

sql = """SELECT * FROM goods where name = '%s'""" % find_name

# 打印拼接出的字符串

print('------>%s

self.execute_sql(sql)

@staticmethod

def print_menu():

print('-----京东-----')

print('1.查询商品信息')

return input('请输入功能对应的序号: ')

def run(self):

while True:

op = self.print_menu()

if op == '1':

self.get_info_by_name()

else:

print('输入错误...')

def main():

jd = JD()

jd.run()

if __name__ == '__main__':

main()

SQL注入执行效果

因为使用动态拼接SQL,所以在应该输入的地方拼接了' or 1 = 1 or '1,打印出来的SQL为SELECT * FROM goods where name = '' or 1=1 or'1',SQL恒真,相当于where条件失效,等价于SELECT * FROM goods,导致整表的数据被查询出来。

安全的方式,构造参数列表

params = []

sql = 'SELECT * FROM goods where name = %s'

self.cursor.execute(sql, params)

from pymysql import connect

class JD(object):

def __init__(self):

# 创建connect连接

self.conn = connect(host='127.0.0.1', port=3306, user='root',

password='123456', database='jing_dong', charset='utf8')

# 获得cursor对象

self.cursor = self.conn.cursor()

def execute_sql(self, sql):

self.cursor.execute(sql)

for temp in self.cursor.fetchall():

print(temp)

def get_info_by_name(self):

"""根据名字查询一个商品"""

find_name = input('请输入想要查询的商品名称: ')

params = [find_name]

sql = 'SELECT * FROM goods where name = %s'

self.cursor.execute(sql, params)

print(self.cursor.fetchall())

print('------>%s

@staticmethod

def print_menu():

print('-----京东-----')

print('1.查询商品信息')

return input('请输入功能对应的序号: ')

def run(self):

while True:

op = self.print_menu()

if op == '1':

self.get_info_by_name()

else:

print('输入错误...')

def main():

jd = JD()

jd.run()

if __name__ == '__main__':

main()

SQL注入执行效果

注意:如果要有多个参数,需要进行参数化。params = [数值1, 数值2...],此时SQL语句要有多个%s

莊謙
关注
python实现sql注入_python 打造一个sql注入脚本 (一)
weixin_39678103的博客
12-11 1857
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php$id=$_GET['x'];$sql="select * from news where id=$x...
python_biologist:生物学家的Python编程
05-04
生物学家的Python编程 这些研讨会将于2019年在马里兰州贝塞斯达的美国国立卫生研究院(NIH)校园向研究人员介绍。 这些研讨会已被记录。 请访问NIAID生物信息学门户网站,以获取这些研讨会的录像和更多培训材料,为...
python+Django实现防止SQL注入的办法
09-18
主要介绍了python+Django实现防止SQL注入的办法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python防止sql注入
weixin_34334744的博客
06-23 283
看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python   最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话: Note that the placeholder syntax depends on the database you are using 'qmark' Q...
python如何防止SQL注入攻击?
最新发布
abckingaa的博客
08-14 279
python如何防止SQL注入攻击?在您提供的 ORM 示例中,我们已经有了防止 SQL 注入的基本保障,因为我们使用了参数化查询。但是,为了进一步增强代码的清晰性和安全性,我们可以确保在分页查询和插入等操作中都使用参数化查询,同时加入类型验证以防止意外输入。
使用Python防止SQL注入攻击
热门推荐
吴秋霖的博客
05-19 2万+
让我们一起掌握Python防止SQL注入的技巧跟方法来抵抗恶意攻击吧!
python防止sql注入
HideInTime的博客
04-14 4051
python中拼接动态sql的多种方式 在python中,对于这条动态sql的拼接至少存在以下四种方案 %s占位符形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid cursor.execute(sql) format形式 sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid) cursor.execute(sql) f strin
python 防止sql注入
weixin_45945976的博客
01-30 909
使用参数化查询可以将用户输入的数据与SQL语句进行分离,从而避免将用户输入内容作为SQL查询的一部分,从而防止SQL注入攻击。请注意,以上是三种常用的防止SQL注入的方法,但并不能保证绝对安全。在处理用户输入时,始终应该保持警惕,遵循最佳安全实践,进行输入验证和过滤。使用ORM框架可以直接操作数据库表对应的对象,ORM框架会自动执行参数化查询。3、使用数据库自带的转义函数:一些数据库提供了转义函数来处理特殊字符,将它们转换为安全字符。使用这些函数可以在执行SQL查询之前对用户输入进行转义。
Python_SQL:学习PythonSQL编程学科的材料
04-09
PythonSQL 是两种在 IT 领域广泛应用的编程语言,它们在数据分析、数据库管理和后端开发中扮演着重要角色。本资料集旨在帮助你深入理解这两种语言,并掌握它们的结合使用。 Python 是一种高级、解释型、面向...
python_coding:python编码的解决方案
02-20
Python编码解决方案主要关注的是在使用Python编程过程中遇到的编码问题,包括字符编码、文本处理以及在Jupyter Notebook环境中的特定挑战。Python作为一种广泛使用的高级编程语言,其编码问题通常是由于不正确的字符...
编码笔记:我正在为许多不同的语言和框架编写全面的编码教程! :dragon_face:
02-04
10. **MySQLC++** - 这可能是关于在C++中使用MySQL API的教程,涵盖了连接数据库、执行SQL语句、处理结果集等。 压缩包文件名“coding-notes-master”暗示这是一个代码笔记的主仓库,很可能包含了上述所有知识点的...
Python防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python防止sql注入的方法,需要的朋友可以参考下。
Python中如何防止sql注入
定期分享编程干货~
04-05 2382
 sql注入中最多见的就是字符串拼接,研发人员对字符串拼接应该引发重视,不该忽略。python   错误用法1:mysql     sql = "select id, name from test where id=%d and name='%s'" %(id, name)sql     cursor.execute(sql)微信   错误用法2:函数     sql = "select id, name from test where id="+ str(id) +" and name='"+.
Python防止SQL注入攻击的方法
qalangtao的博客-qalangtao.com
01-24 769
在Web开发中,SQL注入是一种常见的安全漏洞,攻击者可以通过在输入框中输入恶意的SQL语句来获取敏感数据或者破坏数据库。Python作为一种流行的编程语言,在处理用户输入时需要特别注意防止SQL注入攻击。本文将介绍Python防止SQL注入攻击的方法,并给出相应的代码示例。在使用ORM框架时,开发者无需直接编写SQL语句,框架会自动处理参数化查询,从而避免SQL注入攻击。这样可以防止用户输入的内容被解释为SQL语句的一部分。函数对输入进行过滤,去除首尾的空白字符。在上面的代码中,我们使用了。
Python防止SQL注入
weixin_41434267的博客
10-26 672
注意这条sql语句 select * from goods where name=’ ’ or 1=1 or ‘1’ name = 空 但是 1确实等于1 所以 会查出所有信息 重点怎么防止SQL注入呢 让 execute 自动拼接字符串 就行了 ...
pythonsql注入步骤_python 打造一个sql注入脚本 (一)
weixin_39809168的博客
11-30 534
0x00前言:昨天刚刚看完小迪老师的sql注入篇的第一章所以有了新的笔记。0x01笔记sql注入原理:网站数据传输中,接受变量传递的值未进行过滤,导致直接带入数据库查询执行的操作。sql注入对渗透的作用:获取数据sql注入特性:攻击方法由数据库类型决定攻击结果由数据库决定漏洞代码:sql.php当我们在网页执行访问了:http://127.0.0.1/sql.php?x=1在数据库其实是这样的$...
Python简单处理SQL语句绕过防注入
weixin_33816300的博客
09-12 116
1, #!/usr/bin/python # -*- coding: utf-8 -*- def sqlencode(sql,do): if(do == "+"): sqlend = sql.replace(" ","+")#"+".join(sql) elif(do == "*"): sqlend = sql.r...
sql注入python_Python--sql注入
weixin_39702799的博客
12-15 139
import pymysqlconn = pymysql.connect(host='211.149.218.16', user='jxz', password='123456', db='jxz', port=3306, charset='utf8')cur = conn.cursor(cursor=pymysql.cursors.DictCursor)name = 'zdq'sex = 0cu...
python防止sql注入的方法_python解决sql注入以及特殊字符
weixin_39586335的博客
12-03 383
python往数据库插入数据,基础做法是:cur=db.cursor()sql = "INSERT INTO test2(cid, author, content) VALUES (1, '1', 'aa')"cur.execute(sql,())也可以这样:cur=db.cursor()sql = "INSERT INTO test2(cid, author, content) VALUES (...
Python编程学习宝典:大神笔记&视频教程
它结合了大神的学习笔记,提供了一条清晰的学习路径,使学习者能够更好地理解和应用Python。通过这个文件,学习者可以访问一系列精心整理的学习资料,包括: 1. **Python语言编程学习资料**:包含了电子书和视频...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值