Python sql注入 過濾字串的非法字元例項
阿新 • • 發佈:2020-04-04
我就廢話不多說了,還是直接看程式碼吧!
#coding:utf8
#在開發過程中,要對前端傳過來的資料進行驗證,防止sql注入攻擊,其中的一個方案就是過濾使用者傳過來的非法的字元
def sql_filter(sql,max_length=20):
dirty_stuff = ["\"","\\","/","*","'","=","-","#",";","<",">","+","%","$","(",")","@","!"]
for stuff in dirty_stuff:
sql = sql.replace(stuff,"")
return sql[:max_length]
username = "1234567890!@#!@#!@#$%======$%"
username = sql_filter(username) # SQL注入
print username
# 輸出結果是:1234567890補充知識:python解決sql注入以及特殊字元
python往資料庫插入資料,
基礎做法是:
cur=db.cursor() sql = "INSERT INTO test2(cid,author,content) VALUES (1,'1','aa')" cur.execute(sql,())
也可以這樣:
cur=db.cursor()
sql = "INSERT INTO test2(cid,content) VALUES (%s,'%s','%s')"
sql=sql%('2','2','bb')
cur.execute(sql,())
但是當含有特殊一點的字元時就有問題了,比如單引號,%等,甚至會被sql注入。
和其他語言一樣,python也他的方法來解決sql注入。
cur=db.cursor()
sql = "INSERT INTO test2(cid,%s,%s)"
cur.execute(sql,('3','3','c%c'))
注意,後面2個%s的前後單引號去掉了。
結果如下:
以上這篇Python sql注入 過濾字串的非法字元例項就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支援我們。