python3参数化列表防止SQL注入

最新推荐文章于 2023-11-22 11:44:27 发布
最新推荐文章于 2023-11-22 11:44:27 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: python笔记 文章标签: sql注入 python防sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44143222/article/details/86669102
版权

什么是SQL注入

产生原因: 后台将用户提交的带有恶意的数据和SQL进行字符串方式的拼接,从而影响了SQL语句的语义,最终产生数据泄露的现象。 如果防止: sql语句的参数化, 将SQL语句的所有数据参数存在一个列表中传递给execute函数的第二个参数

注意

  • 此处不同于python的字符串格式化,必须全部使用%s占位
  • 所有参数所需占位符外不需要加引号
from pymysql import connect


class JD(object):
    def __init__(self):
        # 创建和数据库服务器的连接 服务器地址、端口、户名、密码、数据库名、通信使用字符和数据库字符集一致
        conn = connect(host='localhost', port=3306, user='root', password='mysql', database='jing_dong', charset='utf8')
        # 获取游标
        self.cursor = conn.cursor()

    def __del__(self):
        self.cursor.close(
最低0.47元/天 解锁文章
zyj1189
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
python参数化查询_在Python参数化SQL查询
weixin_39851279的博客
12-23 534
我正在尝试构建一个python脚本,它将在接受参数时在数据库连接中运行COPY命令。在数据库:Amazon Redshift,连接psycopg2包。从amazons3提取数据的COPY命令。在如果我硬编码其中的任何一个值,这个命令可以正常工作,但是如果我添加一个参数,查询就会失败。在参数:access_key = 'my_amazon_acccess_key'secret_key = 'my_a...
Python预编译语句防止SQL注入
angaoux03775的博客
04-19 745
这个月太忙,最近不太太平,我的愿望是世界和平! ================================== 今天也在找python的预编译,早上写的sql是拼接来构成的。于是找了2篇文章,还不错,分享一下大家学习。 ps:直接引用别人的话了,因为他们说的已经很好了。 错误用法: 1 sql = "select id,type,name from xl_bugs w...
python如何防止sql注入_python操作MYSQL时防止SQL注入
weixin_39684454的博客
12-03 200
SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统...
Python 数据库,操作mysql,sql注入参数化
houyanhua1的专栏
12-03 2577
  demo.py(sql注入): from pymysql import * def main(): find_name = input("请输入物品名称:") # 创建Connection连接 conn = connect(host='localhost',port=3306,user='root',password='mysql',database='j...
python mysql参数化查询sql注入
weixin_30685047的博客
11-02 952
一、写法 cursor.execute('insert into user (name,password) value (?,?)',(name,password))   或者 cursor.execute('insert into user (name,password) value (%s,%s)',(name,password))   %s与?都可以作为sql语句的占...
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for ...
python mysql中in参数化说明
01-21
第一种:拼接字符串,可以解决问题,但是为了避免sql注入,不建议这样写 还是看看第二种:使用.format()函数,很多时候我都是使用这个函数来对sql参数化的 举个例子: select * from XX where id in (1,2,3) ...
Python MySQLdb 执行sql语句时的参数传递方式
09-08
总之,当使用Python的MySQLdb或类似库执行SQL语句时,应优先考虑使用安全的参数化查询,如通过`%s`占位符和字典传参,以提高代码的安全性和可维护性。同时,查阅官方文档和标准教程是学习和理解这些功能的关键。
最好用的Python连接Mysql库文件,防止SQL注入,可用数组编写SQL
02-20
综上所述,Python连接MySQL并进行安全操作涉及到多个方面,包括使用参数化查询防止SQL注入,数组编写SQL提高效率,通过事务管理确保数据一致性,以及优化代码和数据库设计来应对高并发场景。在实践中,需要结合具体...
基于pythonsql注入脚本
03-04
适合刚学pythonsql注入的人 import urllib2 import re
python中mysql相关(数据库连接、查询以及sql参数化
最新发布
sh_suhu的博客
11-22 1102
首先可以用 pymysql 库来连接 MySQL 数据库,然后通过。最后,如果要将列名、表名、查询条件全部参数化,参考如下。将上文中的 执行sql查询语句 部分替换成下面的代码。
实用 Python3.* 连接MySQL数据库 实现增加删除改查处理,实现表,列参数化
weixin_42577503的博客
11-03 269
实用 Python3.* 连接MySQL数据库 实现增加删除改查处理,实现表,列参数化 主要注意是数据格式,在遵循sql的语法时,同时要注意Python的语法,才能达到效果,主要是小的细节 #encoding=utf-8 import pymysql class DatabaseInit(): def __init__(self,host,port,user,passwd,databas...
C++基础之——初始化参数列表
qq_66660784的博客
10-05 527
C++的初始化参数列表是指在类的构造函数中使用冒号(:)后面跟着的一系列参数。它用于在创建对象时对成员变量进行初始化。
深入探索c++构造函数之二:参数化列表初始化与赋值的区别
weixin_43354152的博客
06-09 3339
1、初始化与赋值的区别 我们在定义变量时习惯于对其立即进行初始化,有时候也会先定义再赋值。由于赋值与初始化都是通过“=”来完成的,以至于很多时候我们忽略了二者的去呗,实际上这二者时候很大区别的。 string foo="Hello World";//定义并进行初始化 string bar; //默认初始化为空的string对象 bar="Hello World"; //为bar赋值 //const修饰的变量、引用定义时必须进行初始化,不能赋值 const int a=3
2.c++参数初始化列表
houshaoyun的博客
04-25 883
构造函数初始化列表以一个冒号开始,接着是以逗号分隔的数据成员列表,每个数据成员后面跟一个放在括号中的初始化式。例如:#include<iostream>using namespace std;struct test1{ test1():a(5),b(10) { //a = 5; //b = 10; cout<<"a="&...
最全总结 | 聊聊 Python 命令行参数化的几种方式!
AirPython的博客
06-26 397
点击上方“AirPython”,选择“加为星标”第一时间关注 Python 原创干货!1. 前言大家好,我是安果!在日常编写 Python 脚本的过程中,我们经常需要结合命令行参数传入一些变量参数,使项目使用更加的灵活方便本篇文章我将罗列出构建 Python 命令行参数的 4 种常见方式它们分别是:内置sys.argv 模块内置argparse 模块内置getopt...
Pytest | 参数化处理三种类型 [ 列表、元组、字典]
01-05 1618
Pytest参数化测试上期我们介绍到Python自动化测试 | Pytest之参数化常用的用法如下@pytest.mark.parametrize("参数名",列表数据...
Python连接MySQL数据库执行sql语句时的参数问题
weixin_33778544的博客
08-14 976
由于工作需要,今天写了一个Python小脚本,其中需要连接MySQL数据库,在执行sql命令时需要传递参数,结果出问题了。在网上查了一下,发现有以下几种方式传递参数: 一.直接把sql查询语句完整写入字符串 1 try: 2 connection = MySQLdb.connect(user="secsel",passwd="secsel@55",host="19...
LoadRunner参数化详解 (转载)
ljoanve的专栏
07-20 236
参数化的方法                                                                            选中要参数化的内容。 方法一,右键---【Replace with a new parameter】 方法二,菜单【insert】----【new Parameter…】  Parameter Properties (参...
防止sql注入参数化查询示例
06-08
假设我们有一个用户登录的功能,用户名和密码存储在数据库的 user 表中。我们可以使用参数化查询来防止 SQL 注入攻击,例如在 Python 中使用 MySQLdb 模块: ```python import MySQLdb # 连接数据库 conn = MySQLdb.connect(host='localhost', user='root', passwd='123456', db='test') # 创建游标对象 cursor = conn.cursor() # 执行参数化查询 username = "admin' or 1=1 -- " # 恶意输入 password = "123456" sql = "SELECT * FROM user WHERE username=%s AND password=%s" cursor.execute(sql, (username, password)) # 处理查询结果 result = cursor.fetchall() if len(result) > 0: print("登录成功") else: print("登录失败") # 关闭游标和连接 cursor.close() conn.close() ``` 在上面的代码中,我们使用 `%s` 作为参数占位符,将 username 和 password 参数作为元组传递给 execute() 方法。这样,即使用户输入恶意的 SQL 代码,也不会对查询语句造成影响,因为这些恶意代码只会被当作参数值来处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zyj1189

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值