pymsql(SQL注入与防SQL注入)

最新推荐文章于 2025-05-01 23:24:04 发布
最新推荐文章于 2025-05-01 23:24:04 发布
阅读量739 收藏
点赞数 25
文章标签: java 数据库 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62037667/article/details/147590084
版权

SQL注入:


import pymysql

# 创建数据库连接 返回一个对象
conn = pymysql.connect(
    host="localhost",  # MySQL服务器地址 本地地址 127.0.0.1
    user="root",  # 用户名 (账号)
    password="155480",  # 密码
    database="spt2503",  # 数据库名称
    port=3306
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
name = input("请输入账号")
pwd = input("请输入密码")



sql = ("SELECT * from  t_user u LEFT JOIN t_user_role ur  ON(ur.uid=u.id)LEFT JOIN "
       "t_role r on (ur.rid=r.rid)LEFT   JOIN t_role_menu rm  ON (rm.rid=r.rid)LEFT "
       " JOIN t_menu m ON (m.id=rm.mid) where u.name = '%s' and u.pwd = '%s'")%(name,pwd)
print(sql)
resultCount = cursor.execute(sql)


res = cursor.fetchall()
print(res)
print(resultCount)
if resultCount:
    print("登录成功")
else:
    print("用户名或密码错误")

cursor.close()

conn.close()

# SQL注入会生成新的SQL语句('%s')

防止SQL注入字典:


import pymysql

# 创建数据库连接 返回一个对象
conn = pymysql.connect(
    host="localhost",  # MySQL服务器地址 本地地址 127.0.0.1
    user="root",  # 用户名 (账号)
    password="155480",  # 密码
    database="spt2503",  # 数据库名称
    port=3306
)
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)
name = input("请输入账号")
pwd = input("请输入密码")

sql = ("SELECT * from  t_user u LEFT JOIN t_user_role ur  ON(ur.uid=u.id)LEFT JOIN "
        "t_role r on (ur.rid=r.rid)LEFT   JOIN t_role_menu rm  ON (rm.rid=r.rid)LEFT "
        " JOIN t_menu m ON (m.id=rm.mid) where u.name = %s and u.pwd = %s")
print(sql)
resultCount = cursor.execute(sql, (name, pwd))




res = cursor.fetchall()
print(res)
print(resultCount)
if resultCount:
    print("登录成功")
else:
    print("用户名或密码错误")

cursor.close()

conn.close()

# SQL注入会生成新的SQL语句('%s')

     517
关注
mysqlsql注入_PyMySQLSQL注入
weixin_39611725的博客
01-18 184
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字符串拼接查询,造成注入importpymysqlconn= p...
pymysql的使用,sql注入问题
Yydsaoligei的博客
08-18 866
pymysql的使用,sql注入问题, MySQL
[Python] PyMySQL演示SQL注入攻击 及 操作事务
2201_75415080的博客
09-05 960
PyMySQL-SQL注入攻击问题PyMysql-操作事务。
mysql占位符 注入_PyMySQLSQL注入
weixin_42107491的博客
01-21 495
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字符串拼接查询,造成注入importpymysqlconn= p...
mysql存储过程 sql注入_pymysql如何解决sql注入问题深入讲解
weixin_39629780的博客
02-08 818
1. SQL 注入SQL 注入是非常常见的一种网络攻击方式,主要是通过参数来让 mysql 执行 sql 语句时进行预期之外的操作。即:因为传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库。产生原因:SQL语句使用了动态拼接的方式。例如,下面这段代码通过获取用户信息来校验用户权限:import pymysqlsql = 'SELECT count(*) as count FROM us...
mysql sql注入方案_pymysqlsql注入解决方案
weixin_29229261的博客
01-28 406
1.什么是sql注入释义:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息参考文章2.基于pymysqlsql注入问题举例例子:我现在tb1数据库,下面有个user表,结构如下:mys...
mysql sql注入删除表_MySQL 表操作、pymysql注入攻击
weixin_36143628的博客
01-20 566
1、基础语句查select(* | 字段名 | 四则运算 | 聚合函数) from 表名称;加上as取别名 as可省略如:select name, (math+english)/2 total from stu;增insert into 表名(字段, ..) values(值, ....),(值, .....)可以从另一张表中拿数据,insert into t1(user, pwd) select...
SQL注入,简单实例,登录攻击
qq_40548097的博客
11-18 1809
SQL注入,简单实例,登录攻击 原理 网上找 实战 服务端逻辑 只是为了演示方便,实际中当然不可能这么写的 #服务端代码 import pymsql def login(): print('ok') def login_fail(): print('not ok!') db = connect(host='local',port=3306, ...
python-pymsql_sql注入攻击_增删改查_导入导出数据库
qq_31455841的博客
09-19 429
1. python 操作 mysql 安装 pymysql 模块 pycharm -> file -> settings -> pymysql 1. 基本语法 import pymysql # 1. 创建连接 host user password database (必写参数) conn = pymysql.connect(host='127.0.0.1',user='root',password='123456',database='db0824',charset='utf8',po
Python PyMySQL模块详解:链接MySQLSQL注入
本文将详细介绍如何安装`pymsql`模块,以及其基础用法、游标操作和SQL注入的安全实践。 **安装导入** 首先,确保你的Python环境已安装了pip包管理器。若未安装,可以通过`pip install pymysql`来下载并安装`...
SQL SERVER python.rar_python SQL Server_python sql server_pytho
09-21
Python还支持使用参数化查询来SQL注入攻击,如下所示: ```python id_to_find = 123 sql_query = "SELECT * FROM your_table_name WHERE id = ?" cursor.execute(sql_query, (id_to_find,)) row = cursor....
基于ssm的校园外卖配送系统(源码+文档)
luoluoal的博客
04-30 1328
校园外卖配送系统的主要使用者分为:1、用户的功能及权限用户登录注册后,进入系统对个人中心,订单信息管理,订单取消管理,配送接单管理,取消配送管理,送达通知管理等功能进行操作管理。2、配送员的功能及权限用户登录注册后,进入系统对个人中心,订单信息管理,配送接单管理,取消配送管理,送达通知管理等功能进行操作管理。3、管理员的功能及权限用户信息的添加和管理,校园外卖配送详细信息添加和管理和文档信息添加和管理以及网站信息管理,这些都是管理员的功能💕💕作者:落落。
Java模拟打字:深入解析 java.awt.Robot 的键盘控制艺术
码觉客的博客
04-28 2702
通过,我们可以实现强大的键盘自动化功能。对于简单的字符(英文字母、数字、基础标点等),可以通过模拟单个按键的按下和释放(可能需要配合 Shift 等修饰键)来实现,这需要建立字符到键码的映射并注意按键时序和延迟。对于复杂字符、中文或长文本,由于Robot不理解输入法逻辑,最可靠和常用的方法是将文本复制到系统剪贴板,然后模拟按下系统的粘贴快捷键。无论使用哪种方法,理解Robot的工作原理(模拟物理按键),处理好窗口焦点,并加入适当的延迟,是确保模拟输入成功的关键。虽然Robot。
Linux 服务管理两种方式service和systemctl
lza20001103的博客
04-29 2057
Linux 服务管理两种方式service和systemctl
POI从入门到上手()-轻松完成EasyExcel使用,完成Excel导入导出.
个人开发经验记事本在此!穿梭于代码世界,积累下满满实战心得。于我而言,开发不仅是技术的打磨,更是经验的沉淀。
05-01 696
 EasyExcel 是阿里巴巴开源的一个基于 Java 的简单、省内存的读写 Excel 工具。在处理大文件时,它能极大地减少内存占用,并且使用起来相对简单。
Number.isInteger()判断一个数值是否为整数报错
ABCAA1024的博客
04-30 846
NumberUtil.isInteger(String str) 实际上是判断这个字符串是否可以被 安全地解析为 Java 的 Integer 类型(即 32 位有符号整数)。NumberUtil.isInteger(“13787870101”) 返回 false,是因为它超出 Integer 的最大范围,而不是因为它不是纯数字。
Spring框架allow-bean-definition-overriding详细解释
zwh1zwh的博客
04-28 560
Bean@Bean// 覆盖Config1的Bean​默认行为​:启动失败,抛出。​开启覆盖后​:容器中最终注册的是。
MyBatis 类型处理器(TypeHandler)注册映射机制:JsonListTypeHandler和JsonListTypeHandler注册时机
2301_76541209的博客
04-27 1425
下面几种机制会让你的最新版本的 MyBatis-Plus starter 会把类路径下所有带这类注解的自动注册进,所以即使你不在里再手动,MyBatis-Plus 启动时也会把它们扫描进来。如果你的实体里写了那 MyBatis 在构建映射的时候会直接 new 这个来处理该字段,不会再走默认的。就算真没有任何自定义 Handler,JDBC 驱动也会把你传进去的字符串(比如你在 Mapper XML 里写#{skills},skills.toString() 恰好是["a","b"]
ruoyi-plus Spring Boot + MyBatis 中 BaseEntity 的设计动态查询实践
最新发布
字节叔叔
05-01 123
通过在BaseEntity中引入和params,我们实现了灵活的动态查询能力,在开发中极大简化了接口参数结构查询逻辑。同时,也提升了系统的可维护性扩展性,是开发大型后台系统中常用的技巧之一。如果你正在构建一个基于 Spring Boot + MyBatis 的后台管理系统,不妨考虑将这两个字段纳入你的BaseEntity设计中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值