Python预编译语句防止SQL注入(转)

最新推荐文章于 2024-09-19 16:07:55 发布
最新推荐文章于 2024-09-19 16:07:55 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: Mysql

 

错误用法:

1 sql = "select id,type,name from xl_bugs where id = %s and type = %s" % (id, type)
2 cur.execute(sql)

这种用法就是常见的拼接字符串导致sql注入漏洞的产生。看到这个突然想到上个礼拜drupal水滴的那个漏洞,其并不是预编译语句被绕过了。而是在构造带入的预编译语句的时候拼接了用户输入字符串,还未带入查询的预编译语句已经被注入了,之后带入正确的参数,最后被注入了

正确用法:
execute() 函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。

1 args = (id, type)
2 cur.execute('select id, type ,name from xl_bugs where id = %s and type = %s', args )

使用如此参数带入方式,python会自动过滤args中的特殊字符,制止SQL注入的产生。

当然,这只是一篇文章,查了下另外一个,来对这个进行补充:

execute()函数本身就有接受SQL语句变量的参数位,只要正确的使用(直白一点就是:使用”逗号”,而不是”百分号”)就可以对传入的值进行correctly转义,从而避免SQL注入的发生。

example:

 1 import sqlite3
 2  
 3 con = sqlite3.connect(":memory:")
 4 cur = con.cursor()
 5 cur.execute("create table people (name_last, age)")
 6  
 7 who = "Yeltsin"
 8 age = 72
 9  
10 # This is the qmark style:
11 cur.execute("insert into people values (?, ?)", (who, age))
12  
13 # And this is the named style:
14 cur.execute("select * from people where name_last=:who and age=:age", {"who": who, "age": age})
15  
16 print cur.fetchone()

 

本文参考信息:

http://xlixli.net/?p=377

https://crazyof.me/blog/archives/2224.html

【版权所有@Sevck 博客地址http://www.cnblogs.com/sevck】 可以转载,注明出处.

IM_bean_sir
关注
专栏目录
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1397
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
python 预编译_python 预编译
weixin_39762464的博客
11-30 2076
广告关闭腾讯云11.11云上盛惠 ,精选热门产品助力上云,云服务器首年88元起,买的越多返的越多,最高返5000元!我们可以通过下面的实例更好理解:import re string = hellomypythonhispythonourpythonendpattern =re.compile(.python.)#预编译result =pattern.findall(string)#找出符合模式的所...
Python预编译语句防止SQL注入
angaoux03775的博客
04-19 810
这个月太忙,最近不太太平,我的愿望是世界和平! ================================== 今天也在找python预编译,早上写的sql拼接来构成的。于是找了2篇文章,还不错,分享一下大家学习。 ps:直接引用别人的话了,因为他们说的已经很好了。 错误用法: 1 sql = "select id,type,name from xl_bugs w...
python sqlite3数据库介绍(如何使用参数化查询防止SQL注入攻击)(直接通过网络让其他主机访问某台主机上的SQLite数据库是不被直接支持的,可以通过文件访问,但可能面临数据库锁等问题)
最新发布
Dontla的博客
09-19 1148
SQL 注入攻击中,攻击者通过将恶意 SQL 代码嵌入到应用程序预期接收为数据的输入中,企图控制应用程序的数据库查询或命令。在参数化查询中,SQL 命令在发送给数据库之前,已经定义了结构,并且只接受指定的参数。这种方式保护了程序免受 SQL 注入攻击,因为即使用户的输入中包含了 SQL 代码片段,它们也会被数据库视为普通数据而不是可执行的 SQL 代码。SQLite 是一个轻量级的数据库,内嵌于应用程序中,不需要单独的服务器进程,使用方便,非常适合小型应用、开发和测试环境。从表中查询数据,并打印结果。
python 预编译_Python 防范 SQL 注入 —— 预编译语句
weixin_39968995的博客
11-30 477
前一段时间刚好用到了 Python 去直连数据库做一些数据分析的操作,习惯了 ORM 之后 SQL 语句也丢下比较长的时间了,好一会才想起来 SQL 注入这一回事。之前学习 Python 的时候也没额外留意这一个点(也有可能是我忘记其实有这个知识点),原以为可能要我自己去实现这一套玩意了。但是 Python 的哲学里面有这么一条 Although never is often better tha...
pythonsql注入_Python预编译语句防止SQL注入
weixin_39587010的博客
11-30 255
这个月太忙,最近不太太平,我的愿望是世界和平!==================================今天也在找python预编译,早上写的sql拼接来构成的。于是找了2篇文章,还不错,分享一下大家学习。ps:直接引用别人的话了,因为他们说的已经很好了。错误用法:1 sql = "select id,type,name from xl_bugs where id = %s and ...
python 预编译sql_python 预编译
weixin_39843677的博客
12-22 901
`__pycache__` 是什么为了提高模块加载的速度,每个模块都会在 __pycache__ 文件夹中放置该模块的预编译模块,命名为 module.version.pyc, version 是模块的预编译版本编码,一般都包含 Python 的版本号。例如在 CPython 发行版 3.4 中,fibo.py 文件的预编译文件就...文章刘新伟2018-01-171135浏览量《Python数据...
使用Python防止SQL注入攻击的实现示例
09-16
为了防止SQL注入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...
Python防止sql注入的方法详解
09-21
预编译SQL语句防止SQL注入的一种有效方法。它允许你在编写SQL语句时保留占位符,然后将实际的参数值传递给这些占位符。Python中的数据库API通常支持这种方式。 **示例代码**: ```python import MySQLdb class ...
python+Django实现防止SQL注入的办法
09-18
Python和Django框架中,防止SQL注入是一个重要的安全措施,因为SQL注入攻击可能导致数据泄露、权限提升甚至整个系统的瘫痪。以下是如何在Django中有效地实现这一目标的方法。 首先,了解SQL注入的基本原理至关...
python 预编译sql_python pymysql 防止SQL注入 预编译
weixin_34079307的博客
03-01 1082
【注意:此文章为博主原创文章!载需注意,请带原文链接,至少也要是txt格式!】这里我给出部分我代码的样例,大家可以参考一下。def ShieldIp_query(self, request_data):try:if self.Pd_data_value(request_data, "size"):size = request_data["size"]else:size = 20if self.P...
python 预编译sql,在python中使用带有MySQL的预处理语句
weixin_42134054的博客
12-22 514
I am trying to use SQL with prepared statements in Python. Python doesn't have its own mechanism for this so I try to use SQL directly:sql = "PREPARE stmt FROM ' INSERT INTO {} (date, time, tag, powe...
python预编译
weixin_30443075的博客
08-14 666
python -m compileall 目录 # 存放python源代码的目录 在目录下生成__pycache__目录,该目录中包含源代码对应的预编译文件.pyc python 文件.pyc 此时执行速度更快(实际上是编译更快,或者说省去了编译的步骤(但如果源程序修改则须重新编译)) 即时速度更快了,实际上也仍然是解释执行。仍然需要翻译官python。这一点与c语言不同,c语言...
python 预编译/函数变量传输
NCU_wander的博客
07-22 447
本文主要记录python相关的原理知识,目的是为了记录python语言中的原理性规则性思考。 预编译 class A: def __init__(self, a): self.a = a def p(self, b=self.a): print b gives an error NameError: name ‘self’ is not defined? Default argument values are evaluated at function d
python预编译标准库,在预编译的字节码+所有必需的库中分发python脚本
weixin_34874119的博客
02-04 371
I made a (one file) scrip in python for my client, the program is a success and now it needs to be distributed to 12 of my client employees.The script I made uses a lot of libraries (imports), some of...
python 预编译命令_Python子进程调用预编译j
weixin_39653311的博客
01-14 455
这可以从windows命令行执行:c:\mallet\bin\mallet run我试过了^{pr2}$然后得到一个错误WindowsError: [Error 2] The system cannot find the file specified我试过了subprocess.call(['c:/mallet/bin/mallet', 'run'])然后找出错误WindowsError: [Er...
vs python调试配置_Python学习 | Python在Win10系统的安装和使用配置
weixin_39797758的博客
11-23 241
一、下载下载最新版python-3.7.332位下载地址:https://www.python.org/ftp/python/3.7.3/python-3.7.3.exe64位下载地址:https://www.python.org/ftp/python/3.7.3/python-3.7.3-amd64.exe如果想下载其他版本,请到https://www.python.org/downloads/...
考虑使用预编译python二进制文件
码农在写代码
07-26 413
使用预编译Python 二进制文件是一种快速且简便的安装方式,特别是在无法方便地从源代码编译 Python 的情况下。
python 预编译sql_测试mysqlsql语句预编译效果
weixin_39765209的博客
12-22 517
玩Oracle的都比较关注shared pool,特别是library cache,在使用了绑定变量(预编译sql)之后确实能得到很大的性能提升。现在在Mysql之后特别是innodb很多东西都还能和Oracle对得上号的,就像innodb_buffer_pool_size类似于Oracle的database buffer cache,innodb_log_buffer_size类似于redo ...
Python防止SQL注入:实现与示例
"使用Python防止SQL注入攻击的实现示例,包括理解Python SQL注入的概念、如何安全地构造和执行查询,以及通过示例展示在PostgreSQL数据库中的应用。" 在Python开发中,SQL注入攻击是一个严重的问题,攻击者通过输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值