APP爆出一个大Bug,只要在查询框内输入“%”,就会检索出所有的数据,最后有人给出了这样的解决方案,在前端进行验证,禁止用户输入“%”之类的特殊字符。
帅呆了!责任轻易地就甩给了前端!
我反问,如果百分号要进行禁止,那么“*&’“()”要不要进行禁止?“desc、select、from”等关键字要不要禁止?还有“+-”,正则表达式相关的符号要不要禁止?就算输入框禁止了,直接发送http请求又如何禁止?
明明是SQL语句的生成有问题,偏偏说是验证的问题。出现这种问题,SQL语句必然是字符串拼接生成,这也一定会存在SQL注入安全问题,说得难听点,相关的SQL语句都是系统的毒瘤,必须要清除。
解决办法其实很简单,用占位符即可,实例如下:
# 连接数据库
cxn=psycopg2.connect(database='lap',user='postgres',password='root')
# 获取游标
cur = cxn.cursor()
# 执行插入语句
cur.execute('insert into t_user (username,password) VALUES (%s,%s)',('%ab','*'))
# 执行查询语句
cur.execute('select * from t_user where username = %s',("%ab",))
# 获取结果集
rows = cur.fetchall()
更多实例,供参考:
# 删除语句也不能拼接字符串
cur.execute('delete from t_user where userid = %s',(14,))
# 输入任何特殊字符都依旧正常
cur.execute('select * from t_user where password = %s',("*",))
# 单引号是破解SQL注入的关键
cur.execute('select * from t_user where password = %s',("'",))
最后,再说一句,不要给用户设置太多的限制,这是别人的自由,你管不着!