Python - torndb sql注入防御性分析

最新推荐文章于 2021-01-19 15:15:55 发布
最新推荐文章于 2021-01-19 15:15:55 发布
阅读量269 收藏
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42264360/article/details/96336752
版权

文章目录

背景

上周,我写的一个web项目(基于tornado框架)中对数据库部分的操作被同事质疑。同事质疑此段代码的写法存在被sql注入攻击的风险,故我分析了torndb的源码,看我写的代码是否真的存在被sql注入攻击的风险。同时撰写此博客,记录源码分析结果。

相关前提

Google: python mysqldb injection ,或者百度: python mysql 防注入,很容易得到一个结论:
利用MySQLdb的cursor的execute方法,将众参数作为一个tuple传入execute,避免通过拼接字符串的方式直接传入一个完整的sql语句,就可以做到防sql注入,大致情形如下:

# 可以防止sql注入的写法
cur.execute('select * from table where col=%s and row=%s',(user_col_in, user_row_in))
 
# 不能防止sql注入的写法(拼接字符串)
cur.execute('select * from table where col=%s and row=%s' % (user_keyin, user_row_in))

项目源代码样例

    def get_all(self):
        list = self.db.query('SELECT * FROM table')
        return list

    def get_xxx_by_id(self, id):
        xxx = self.db.get('SELECT xxx FROM table WHERE id=%s', id)
        return xxx

    def insert_xxx(self, xxx):
        sql_format = 'INSERT INTO `xxx` (`username`, `name`, `email`, `status`, `category`, `add_time`, `update_time`, `comment`) VALUES (%s, %s, %s, %s, %s, %s, %s, %s)'
        xxx_id = self.db.insert(sql_format, xxx['username'], xxx['name'], xxx['email'], 1, 1, xxx['add_time'], xxx['update_time'], xxx['comment'])
        return staff_id

同事认为这些代码没有使用execute()方法,而是使用了get,query,insert等方法,类似于直接拼接字符串,存在非常高的被sql注入攻击的隐患。

torndb源码剖析

查看 torndb.py,可以发现:
在这里插入图片描述

说明get方法其实也就是调用了query,然后取第一条结果返回,如果不止一条结果,就抛出异常。
那就观察query方法,发现其调用了一个_execute方法,是不是跟MySQLdb的execute()有点像呢?
跟入_execute函数:
在这里插入图片描述
可以看到这完全就是防止sql注入的写法,而这个cursor就是:
在这里插入图片描述

结论

可以看到torndb就是对MySQLdb进行了一层很简单的封装。不管get还是query还是insert等等等等,底层都是用MySQLdb的execute的防注入形式实现的。
所以你只要不是把所有参数直接拼接进了一个字符串,比如query_str,然后只传query_str这一个参数进去,就不存在被sql注入攻击的风险。
无论get还是query还是insert,都可以按照get/query/insert(query_str, (query_tuple))的方式直接使用,没有任何问题,因为底层都是用execute(query_str, (query_tuple))封装的。

什么?你说:“谁跟你说execute(query_str, (query_tuple))就是安全的?”
请移步我的另一篇博客:
Python - MySqldb 防sql注入 - 底层原理分析

环伊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python sql注入防护
weixin_45530120的博客
11-17 339
SQL注入防范 以前对代码的安全程度不够注重,其实也可以说是没那么多参考资料来指导,没那么严格的流程来要求。现在分享一下自己的代码安全方面的收获。 sql注入指通过构造不符合预期的sql语句,来达到绕过防范的目的。 例子就不举例了。网上太多。 说说python中的防范方法。 django ORM框架 django模型提供了一套自动生成的用于数据库操作的API,直接对对象进行操作。 一般使用的方法有:filter()、get()、all()。 但不可避免的使用mysql语句的。 django中可以通过Mana
python如何防止sql注入
houmenghu的博客
08-07 1076
起因 漏洞产生的原因最常见的就是字符串拼接了,当然,sql注入并不只是拼接一种情况,还有像宽字节注入,特殊字符转义等等很多种,这里就说说最常见的字符串拼接,这也是初级程序员最容易犯的错误。 首先咱们定义一个类来处理mysql的操作 class Database: url = '127.0.0.1' user = 'root' password = 'root' db = 'test...
tonado mysql_Tornado+MySQL模拟SQL注入
weixin_29440125的博客
01-19 179
实验环境:python 3.6 + Tornado 4.5 + MySQL 5.7实验目的:简单模拟SQL注入,实现非法用户的成功登录先给一个SQL注入的图解,图片来自网络:一、搭建环境1、服务端的tornado主程序app.py如下:#!/usr/bin/env python3# -*- coding: utf-8 -*-import tornado.ioloopimport tornado.w...
python--防止SQL注入
weixin_30502157的博客
07-06 113
from pymysql import * def main(): # 创建Connextion连接 conn = connect(host='localhost', port=3306, user='root', password='', database='test', charset='utf8') # 获取Cursor对象 cursor...
Tornado+MySQL模拟SQL注入
weixin_30470857的博客
07-05 151
实验环境: python 3.6 + Tornado 4.5 + MySQL 5.7 实验目的: 简单模拟SQL注入,实现非法用户的成功登录 先给一个SQL注入的图解,图片来自网络: 一、搭建环境 1、服务端的tornado主程序app.py如下: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import torna...
Python防止sql注入的方法详解
09-21
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无...下面这篇文章主要给大家介绍了关于Python防止sql注入的方法,需要的朋友可以参考下。
Python-reversemap分析Web服务器日志中的SQL注入尝试
08-10
本文将深入探讨如何使用Python中的`reversemap`工具来分析Web服务器日志,以便检测并预防SQL注入尝试。 首先,我们需要了解什么是SQL注入SQL注入是一种黑客攻击手段,通过在用户输入的数据中插入恶意的SQL语句,...
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
python-sql
01-19
本文将详细讨论如何在Windows环境下解决Python安装MySQL的问题,以及如何使用提供的`MySQL_python-1.2.5-cp27-none-win_amd64.whl`文件。 首先,Python中的`mysql`标签通常指的是`PyMySQL`或`MySQLdb`这两个库,...
Python-sqlchop基于SQL标记和语法分析SQL注入检测引擎
08-10
Python-sqlchop是一个用于SQL注入检测的工具,它基于SQL的标记和语法分析技术,旨在帮助开发者和安全专家识别并防止潜在的SQL注入漏洞。SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL代码来操纵数据库...
基于通用规则的SQL注入攻击检测与防御系统的研究
01-27
Web技术是通过Web采用HTTP或HTTPS协议访问外部并对外部请求提供服务和响应的应用程序,Web应用日益成为软件开发的主流之一,随之而来的是,Web应用程序中存在的多种安全漏洞渐渐显露出来,这些给人们的生活、工作、学习都带来了巨大的损失。面对Web网站存在的种种安全漏洞问题,文章通过对大量SQL注入攻击报文的攻击特征进行总结分析,结合SQL注入攻击的攻击特征和攻击原理,提出了一种基于通用规则的SQL注入攻击检测与防御的方法,并利用SQL注入检测工具Sqlmap进行SQL注入攻击模拟同时对网络流量捕捉抓包,对上述检测防御方法进行验证。SQL注入检测工具利用自带网络爬虫通过HTTP协议和URL链接来遍历网页并获取页面数据信息,然后进行SQL注入尝试并通过抓包工具捕捉网络攻击流量,提取攻击特征,总结通用规则,更新规则库,最终结合IPS入侵防御系统告警或阻断来提升网络环境的安全性。实验测试表明,该方法可有效检测SQL注入攻击漏洞。
pythonsql注入
weixin_30468137的博客
03-16 207
一、什么是sql注入:   SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。   根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致...
torndb操作mysql
dipihuo0431的博客
08-27 264
torndb 是一个基于 MySQLdb 封装的轻量级模块。 进一步了解请阅读源码:GitHub 源码地址 使用 安装 $ pip install torndb 连接 torndb.Connection(host, database, user=None, password=None, max_idle_t...
Python中如何防止sql注入
weixin_30664051的博客
10-28 117
  sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。   错误用法1:     sql = "select id, name from test where id=%d and name='%s'" %(id, name)     cursor.execute(sql)   错误用法2:     sql = "select id, name from t...
python torndb
weixin_44732765的博客
05-29 343
最近接触的项目中数据库操作使用pythontorndbtorndb 基于 pymysql 遇到的问题: pymysql 创建Connection对象时,autocommit 参数默认为False, 所以可以使用try catch 的结构,当数据操作发生错误时进行回滚 。 torndb 创建Connection对象时,调用了torndb中的 reconnect函数,这个函数在首先关闭现有的...
SQL 注入
Kungreye
07-12 220
from https://blog.ansheng.me/article/mysql-sql-injection Python全栈之路系列之MySQL SQL注入 SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。 SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别...
基于tornado的web探测系统(自带旁注、端口扫描、whois、sql注入监测)
Yatere的天平秤
07-06 2427
http.py import tornado.ioloop,os import tornado.web import unit,socket user='yk' passwd='123' class MainHandler(tornado.web.RequestHandler): def get(self): self.write(''' 目标:
Python - python如何连接sql server数据库
最新发布
03-29
Python可以使用pyodbc模块来连接SQL Server数据库。 首先需要安装pyodbc模块,可以通过pip命令安装: ``` pip install pyodbc ``` 接着,在Python代码中使用pyodbc来连接SQL Server数据库: ```python import ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值