手册   游戏   WEB   字典   单词   在线工具  

Django 中的 sql 注入

Django 中防止 SQL 注入的方法

方案一

总是使用 Django 自带的数据库 API. 它会根据你所使用的数据库服务器 (例如 PostSQL 或者 MySQL) 的转换规则, 自动转义特殊的 SQL 参数. 这被运用到了整个 Django 的数据库 API 中, 只有一些例外:

传给 extra() 方法的 where 参数. 这个参数故意设计成可以接受原始的 SQL. 使用底层数据库 API 的查询.

  1. ## select 提供简单数据
  2. # SELECT age, (age> 18) as is_adult FROM myapp_person;
  3. Person.objects.all().extra(select={
  4. 	'is_adult': "age> 18"	
  5. })  # 加在 select 后面
  6. ## where 提供查询条件
  7. # SELECT * FROM myapp_person WHERE first||last ILIKE 'jeffrey%';
  8. Person.objects.all().extra(where=["first||last ILIKE'jeffrey%'"])  # 加一个 where 条件
  9. ## table 连接其它表
  10. # SELECT * FROM myapp_book, myapp_person WHERE last = author_last
  11. Book.objects.all().extra(table=['myapp_person'], where=['last = author_last']) # 加 from 后面
  12. ## params 添参数
  13. # !! 错误的方式 !!
  14. first_name = 'Joe'  # 如果 first_name 中有 SQL 特定字符就会出现漏洞
  15. Person.objects.all().extra(where=["first ='%s'" % first_name])
  16. # 正确方式
  17. Person.objects.all().extra(where=["first ='%s'"], params=[first_name])

python 中 sql 中注入

  1. from pymysql import *
  2. def main():
  3.     find_name = input("请输入物品名称:")
  4.     # 创建 Connection 连接
  5.     conn = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')
  6.     # 获得 Cursor 对象
  7.     cs1 = conn.cursor()
  8.     # # 非安全的方式
  9.     # # 输入 "or 1=1 or"   (双引号也要输入)
  10.     # sql = 'select * from goods where name="%s"' % find_name
  11.     # print("""sql===>%s<====""" % sql)
  12.     # # 执行 select 语句, 并返回受影响的行数: 查询所有数据
  13.     # count = cs1.execute(sql)
  14.     # 安全的方式
  15.     # 构造参数列表
  16.     params = [find_name]
  17.     # 执行 select 语句, 并返回受影响的行数: 查询所有数据
  18.     count = cs1.execute('select * from goods where name=%s', params)
  19.     # 注意:
  20.     # 如果要是有多个参数, 需要进行参数化
  21.     # 那么 params = [数值 1, 数值 2....], 此时 sql 语句中有多个 %s 即可
  22.     # 打印受影响的行数
  23.     print(count)
  24.     # 获取查询的结果
  25.     # result = cs1.fetchone()
  26.     result = cs1.fetchall()
  27.     # 打印查询的结果
  28.     print(result)
  29.     # 关闭 Cursor 对象
  30.     cs1.close()
  31.     # 关闭 Connection 对象
  32.     conn.close()
  33. if __name__ == '__main__':
  34.     main()

请注意在 cursor.execute() 的 SQL 语句中使用 "%s", 而不要在 SQL 内直接添加参数. 如果你使用这项技术, 数据库基础库将会自动添加引号, 同时在必要的情况下转意你的参数.

来源: http://www.bubuko.com/infodetail-3344701.html


与本文相关文章

  1. SQL Server 中的小技巧 (重复, 替换, 截取, 去空格, 去小数点后的位数)
  2. Spark SQL 源码解析 (二)Antlr4 解析 Sql 并生成树
  3. SQL*Plus 命令
  4. SAS 中的 sql 语句的使用 ------ 多表使用
  5. 常用 sql 汇总 --- SQL 根据一个字段分组后, 把另外几个字段的字符串累加连接起来
  6. sql 得到表中的列信息
  7. 网络安全快速入门 15-SQL 注入
  8. pymysql 解决 sql 注入问题
暂无,快来抢沙发吧!
更多





黑ICP备17005318号-1