python+Django實現防止SQL注入的辦法
阿新 • • 發佈:2020-01-09
先看看那種容易被注入的SQL
id = 11001 sql = """ SELECT id,name,age FROM student WHERE id = """+id+""" """ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for result1 in result: // 程式碼塊 pass finally: cursor.close()
一般來說寫SQL語句在程式中,若有where條件一般都可能會去直接拼接,到那時這種方式容易被SQL注入,首先說明下什麼是SQL的注入,簡單來說就是你寫的SQL被別人在頁面上拼接了SQL。比如拼接1=1這種條件,如果登入介面被注入1=1那麼就可以隨意進入你的程式了。所以才要防止SQL的注入。
下面再來看看防止SQL的注入
id = 11001 params = [] sql = """ SELECT id,age FROM student WHERE id = %s """ params.append(id) cursor = connection.cursor() try: cursor.execute(sql,params) result = cursor.fetchall() for result1 in result: // 程式碼塊 pass finally: cursor.close()
我們把直接拼接的條件變數放入集合再把集合帶入執行SQL的方法,就可以避免被注入的風險,在SQL的條件中使用%s進行站位,要注意的是這個%s是有順序的,比如說上面這個SQL後面在跟一個條件name=%s那麼下面的params集合也要多加一個元素params.append(name)這個時候name是在id後面的在集合中。這樣可以一一對應,但如果要是把params.append(name)寫在了params.append(id)前面SQL執行就會出現id=name and name = id 的條件就亂了,甚至還會報錯。
使用connection完畢之後一定要記得close,connection是django.db中的,匯入不要匯入錯了。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。