[学习笔记](Python3)防止SQL注入、XSS攻击和文件上传漏洞

最新推荐文章于 2024-06-12 22:18:06 发布
最新推荐文章于 2024-06-12 22:18:06 发布
阅读量465 收藏 4
点赞数 10
文章标签: 学习 笔记 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48567288/article/details/139087795
版权

学习笔记:防止SQL注入、XSS攻击和文件上传漏洞(Python3)

本笔记由生成式大模型GPT-4o自动整理。注意AI可能犯错。代码和理论由GPT-4o(2024-5-21)自行撰写未经人工复核。

参数化查询防SQL注入

参数化查询通过将SQL语句和数据分离来防止SQL注入:

import pymysql

connection = pymysql.connect(host='localhost', user='user', password='passwd', db='db')
cursor = connection.cursor()
username, password = "admin", "password123"

sql = "SELECT * FROM users WHERE username=%s AND password=%s"
cursor.execute(sql, (username, password))
result = cursor.fetchall()
防止XSS攻击的方法

  1. 输出编码:在输出到网页时进行编码。

  2. 内容安全策略(CSP):使用CSP头限制浏览器执行或加载的内容。

    Content-Security-Policy: default-src 'self';

  3. 输入验证和清理:严格验证和清理用户输入。

  4. 使用安全的库和框架:例如,使用Django。

  5. 设置HTTP头

    X-XSS-Protection: 1; mode=block
文件上传漏洞的解决方法(Python3后端)

  1. 文件类型验证

    from werkzeug.utils import secure_filename
from flask import Flask, request, abort

app = Flask(__name__)
app.config['UPLOAD_FOLDER'] = '/path/to/upload'
app.config['ALLOWED_EXTENSIONS'] = {'png', 'jpg', 'jpeg', 'gif'}

def allowed_file(filename):
    return '.' in filename and filename.rsplit('.', 1)[1].lower() in app.config['ALLOWED_EXTENSIONS']

@app.route('/upload', methods=['POST'])
def upload_file():
    if 'file' not in request.files:
        abort(400, 'No file part')
    file = request.files['file']
    if file.filename == '':
        abort(400, 'No selected file')
    if file and allowed_file(file.filename):
        filename = secure_filename(file.filename)
        file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))
        return 'File successfully uploaded'
    else:
        abort(400, 'File type not allowed')

  2. 文件名安全处理

    from werkzeug.utils import secure_filename

filename = secure_filename(file.filename)

  3. 限制文件大小

    app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024  # 16MB

  4. 存储位置和权限

    import os

UPLOAD_FOLDER = '/path/to/upload'
if not os.path.exists(UPLOAD_FOLDER):
    os.makedirs(UPLOAD_FOLDER, exist_ok=True)
os.chmod(UPLOAD_FOLDER, 0o700)
总结

通过参数化查询防止SQL注入,使用输出编码、CSP、输入验证等技术防止XSS攻击,并在Python3后端通过文件类型验证、文件名处理、限制文件大小等措施防止文件上传漏洞,可以有效提高Web应用的安全性。

可信计算
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pythonxss注入
吴景慈跑得快的博客
03-14 5580
什么是xss注入攻击 可以查看这篇文章 其实主要就是转换特定的字符,在某些接口前转换出来或者在前端做处理转换出来,这篇文章只是后端的转换和恢复 转换 quote表示是否要转换引号 >>> import cgi >>> cgi.escape('<script>&"', quote=True) '<script&amp...
【web安全】PDF写入XSS攻击
weixin_46301214的博客
11-25 1122
一开始研究用现成的PDF编辑器工具写入,发现又要VIP,又比较繁琐。首先打开网站,下发Cookie,然后再到打开PDF反弹Cookie。再模拟黑客用服务器接收Cookie,登录,一条龙。还不如用 Python装一个库,写代码来的快捷。在渗透测试中,能触发弹窗就算是一个漏洞了。这里要注重实战,搭建一个靶场进行实战。所以采用了PyPDF2这个库来写入。
python flask框架,在请求前加入参数过滤,防止sql注入
SecondRound93的博客
06-05 3553
对web服务发起请求时,入的参数中可能含有对数据库不利的操作,即sql注入 在flask框架中为了防止sql注入,在请求之前可以加一层参数过滤 在app.py中添加以下代码: @app.before_request def before_request(): #假设是post请求,data为入的请求参数 data =request.json for v in data.values(): v= str(v).lower() pattern = r"
python的flask解决xss攻击漏洞
石磊
12-22 4700
版权声明:可以任意转载,转载时请标明文章原始出处-xjtushilei和作者信息:石磊 xss漏洞解决跨站脚本攻击的原理XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。跨站脚本攻击的危害:窃取c
php正则表达式sql注入,php防止sql注入漏洞代码 && 几种常见攻击的正则表达式
weixin_30647489的博客
03-26 468
注入漏洞代码和分析先上代码function customError($errno, $errstr, $errfile, $errline){echo "Error number: [$errno],error on line $errline in $errfile";die();}set_error_handler("customError",E_ERROR);$getfilter="'|(a...
【论文阅读笔记】VUDENC:基于深度学习Python代码漏洞检测
m0_51946536的博客
10-21 785
本文介绍了Vudenc,一个基于深度学习Python代码漏洞检测系统,旨在解脱人工定义漏洞检测功能的繁琐和主观工作。利用LSTM模型直接在源代码上学习漏洞特征,作者挖掘了GitHub中的大型提交数据集,覆盖七种漏洞类型,包括SQL注入、跨站点脚本等。数据集公开,用于复制和进一步研究。通过word2vec模型训练,将源代码嵌入到LSTM网络中,以单个令牌级别检测易受攻击的代码。实验表明,Vudenc召回率78%-87%,准确率82%-96%,F1得分80%-90%,鼓励进一步研究。
python渗透工具编写学习笔记:9、web漏洞检测与利用脚本
weixin_49511463的博客
12-24 3031
python编写SQL注入、XXS、CSRF、文件包含、上漏洞检测与利用脚本以及漏洞防护框架
通杀! 熬夜码的 - 八万字 - 让你一文读懂SQL注入漏洞原理及各种场景利用
易编橙 · 终身成长社群,相遇已是上上签!
10-24 1461
WEB攻防漏洞的本质 漏洞特定函数: 漏洞的成因必然会涉及到所用的函数,不同的开发语言都有一些特定的函数用于不同的作用。 有些函数用于数据库查询,有的函数用于文件读写,有的函数用于调试输出等。函数在使用的时候会和漏洞形成的关系是什么? 漏洞产生的原因必定会使用到类似的脚本语言的特定函数,比如SQL注入漏洞,必然会涉及到数据库查询操作类的相关函数。 这就是漏洞的特定函数。所以在代码层,我们就可以通过函数猜解存在有那些漏洞,反推也可以根据漏洞猜解使用了哪些特定函数。 输可
Web安全漏洞个人学习笔记
stillaway的博客
01-09 1218
Web安全学习笔记
预防XSS攻击SQL注入XssFilter
05-19
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
网络安全技术+XSS攻击SQL注入攻击
04-11
XSS攻击SQL注入攻击 网络安全技术初级学生
扩展学习|风险管理的文献综述汇总(持续更新向)
weixin_63253486的博客
06-10 795
本片博客主要介绍风险管理领域本人所看到的一些有意思的文章,并就风险管理领域的相关内容进行一个分享。
[ue5]建模场景学习笔记(5)——必修内容可交互的地形,交互沙(3)
qq_40128113的博客
06-09 337
5.第一想法直接clear掉,但直接clear会把想要保留的痕迹一并去除,跑起来就没有痕迹!所以不行,要做一个转载,先把痕迹保留在一个载体上,清楚原来痕迹,用sandsave表示,再把这个载体的痕迹保存回原来rt,这样之前的痕迹被清空了,只留下了保存在载体上的部分,正好符合我们想要的部分。我们现在已经能够让这片地形出现在任意地方,只要角色走在这片地形上,就能够产生痕迹,但这片区域总是需要人工指定,又无法把这片区域无限扩大(显存爆炸),因此尝试使角色无论走到哪里都能产生痕迹。否则绘制不到画板上。
Qt---pro文件学习
weixin_51883798的博客
06-11 482
【代码】Qt---pro文件学习
【电子信息工程专业课】学习记录
最新发布
共同进步!
06-12 304
- # **数字信号处理** * ## 离散时间信号与系统 + ### 周期延拓 一个连续时间信号经过理想采样后,其频谱将沿着频率轴以采样频率Ωs = 2π / T 为间隔而重复。 + ### 混频 各周期的延拓分量产生频谱交替的现象 + ### 奈奎斯特采样定理 fs > 2fh
怎么学习汇川Codesys PLC教程?
NAV3055的博客
06-12 315
各位好,我在B站和抖音上都有发布视频的,搜索我的名称“阿凡工控分享”即可。在CSDN上发表文章也是想把我的一点见解和经验分享出来,进一步的方便大家进行学习
php防止sql注入xss攻击
06-01
防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,以确保输入的数据符合预期。 3. 不要直接使用用户输入作为SQL查询的一部分,使用转义字符或安全的编码方式对用户输入进行处理。 为防止XSS攻击,可以采取以下措施: 1. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等。 2. 对输出到网页的用户输入进行转义,例如将特殊字符转换为HTML实体,这可以防止恶意用户注入恶意脚本或代码。 3. 使用内容安全策略(CSP)等技术来限制网页中可以执行的脚本和代码的来源,以防止跨站脚本攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值