2. 程式人生 > 資料庫 >pymysql如何解決sql注入問題深入講解

pymysql如何解決sql注入問題深入講解

阿新 發佈:2020-01-09

1. SQL 注入

SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。

即:因為傳入的引數改變SQL的語義,變成了其他命令,從而操作了資料庫。

產生原因:SQL語句使用了動態拼接的方式。

例如,下面這段程式碼通過獲取使用者資訊來校驗使用者許可權:

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = ' + str(input['id']) + ' AND password = "' + input['password'] + '"'
cursor = dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
 print('登陸成功')

但是,如果傳入引數是:

input['id'] = '2 or 1=1'

你會發現,使用者能夠直接登入到系統中,因為原本 sql 語句的判斷條件被 or 短路成為了永遠正確的語句。
這裡僅僅是舉一個例子,事實上,sql 注入的方式還有很多種,這裡不深入介紹了。

總之,只要是通過使用者輸入資料來拼接 sql 語句,就必須在第一時間考慮如何避免 SQL 注入問題。

那麼,如何防止 SQL 注入呢?

2. 預防 SQL 注入 – pymysql 引數化語句

pymysql 的 execute 支援引數化 sql,通過佔位符 %s 配合引數就可以實現 sql 注入問題的避免。

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = %s AND password = %s'
valus = [input['id'],input['password']]
cursor = dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql,values)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
 print('登陸成功')

這樣引數化的方式,讓 mysql 通過預處理的方式避免了 sql 注入的存在。

需要注意的是,不要因為引數是其他型別而換掉 %s,pymysql 的佔位符並不是 python 的通用佔位符。

同時,也不要因為引數是 string 就在 %s 兩邊加引號,mysql 會自動去處理。

3. 預防 SQL 注入 – mysql 儲存過程

資料庫儲存過程是 mysql 的一種高階用法,但是一般來說,並不建議使用資料庫的儲存過程。

主要原因是:

  • 儲存過程的語法與普通 SQL 語句語法相差太大,增加維護成本
  • 儲存過程在各資料庫間不通用且差別較大,給資料庫的移植和擴充套件帶來困難
  • 編寫困難,資料庫指令碼語言使用起來還是很不方便的,包括很多資料結構的缺失,讓很多事情做起來很困難
  • 除錯困難,雖然有一些功能強大的 IDE 提供了資料庫儲存過程的除錯功能,但是通常你需要同時在資料庫層面上和業務中同時進行除錯,兩處除錯極為不便
  • 業務耦合,編寫儲存過程通常是需要在其中放入部分業務邏輯,這使得業務分散在資料層,業務層與資料層的耦合對於專案維護和擴充套件都會帶來極大地不便。

但是,雖然不建議使用儲存過程,但是畢竟可以依賴他實現各種跨語言的 sql 注入預防,在複雜的場景下還是有其使用價值的。(以後需要用再去詳細學,這裡只作簡單介紹)

3.1. 儲存過程編寫

delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql (
 in nid1 INT,in nid2 INT,in callsql VARCHAR(255)
)
BEGIN
 set @nid1 = nid1;
 set @nid2 = nid2;
 set @callsql = callsql;
 PREPARE myprod FROM @callsql;
 -- PREPARE prod FROM 'select * from tb2 where nid>? and nid<?'; 傳入的值為字串,?為佔位符
 -- 用@p1,和@p2填充佔位符
 EXECUTE myprod USING @nid1,@nid2;
 DEALLOCATE prepare myprod;

END\delimiter ;

3.2. pymsql 中呼叫

import pymysql

cursor = conn.cursor()
mysql="SELECT * FROM user where nid > ? and nid < ?"
cursor.callproc('proc_sql',args=(11,15,mysql))
rows = cursor.fetchall()
conn.commit()

總結

以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對我們的支援。

相關推薦

pymysql如何解決sql注入問題深入講解

1. SQL 注入 SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。

解決SQL注入問題

PreparedStatement和Statement的區別: /** * 1、對比一下Statement和PreparedStatement? * statement存在sq1注入問題,PreparedStatement解訣了sql注入問題。

解決 SQL 注入

SQL注入是什麼? 看一下百度百科的定義: 啊,好長一大段文字,些許不想看,下面通過一個例子,來說明一下什麼是SQL注入

解決SQL注入現象

package com.bjpowernode.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner;

jdbc-實現使用者登入業務(解決sql注入問題)

package com.cqust; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner;

SQL語句執行深入講解(MySQL架構總覽-&gt;查詢執行流程-&gt;SQL解析順序)

前言: 一直是想知道一條SQL語句是怎麼被執行的,它執行的順序是怎樣的,然後檢視總結各方資料,就有了下面這一篇博文了。

sql server中錯誤日誌errorlog的深入講解

一 .概述 SQL Server 將某些系統事件和使用者定義事件記錄到 SQL Server 錯誤日誌和 Microsoft Windows 應用程式日誌中。 這兩種日誌都會自動給所有記錄事件加上時間戳。 使用 SQL Server 錯誤日誌中的資訊可以解決S

sql server中的任務排程與CPU深入講解

一. 概述 我們知道在作業系統看來, sql server產品與其它應用程式一樣,沒有特別對待。但記憶體,硬碟,cpu又是資料庫系統最重要的核心資源,所以在sql server 2005及以後出現了SQLOS,這個元件是sqlserver和window

深入瞭解SQL注入

1 .什麼是sql注入Sql injection)? Sql注入是一種將sql程式碼新增到輸入引數中,傳遞到Sql伺服器解析並執行的一種攻擊手法

使用keras做SQL注入攻擊的判斷(例項講解)

本文是通過深度學習框架keras來做SQL注入特徵識別, 不過雖然用了keras,但是大部分還是普通的神經網路,只是外加了一些規則化、dropout層(隨著深度學習出現的層)。

SQL注入原理與解決方法程式碼示例

一、什麼是sql注入? 1、什麼是sql注入呢? 所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼大多

SQL注入漏洞過程例項及解決方案

程式碼示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login(\"aaa\' OR \' \",\"1651561\");//若已知使用者名稱,用這種方式便可不用知道密碼就可登陸成功

SQL Server異常程式碼處理的深入講解

前言 SQL Server使用TRY...CATCH 結構實現TSQL語句的錯誤處理,TRY命令負責監控語句執行的情況,如果有TSQL語句發生異常,並且嚴重級別(Severity Level)大於10,並且小於20,那麼CATCH命令會捕獲到異常的錯誤。

Spring中@Autowire注入深入講解

一直在思考spring的@Autowire注入屬性時到底是按型別注入還是按名稱注入,今天寫了一個測試來證明一下。

SQL注入漏洞的解決PreparedStetament

JDBCUtil 工具集 package com.imooc.jdbc.utils; import java.io.IOException; import java.io.InputStream;

SQL注入問題並解決

SQL注入問題 package com.etc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner;

例項介紹SQL注入以及如何解決

前言 SQL注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的SQL語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫

Mysql 的sql注入是什麼?怎麼解決?

技術標籤:mysqlmysql sql注入的原因 語句和使用者輸入的內容進行拼接,傳送給資料庫編譯的時候,資料庫將使用者輸入的內容當成sql語句編譯了。從而從根本上改變了我們開發者所期望sql語句原有的含義。導致程式受

request請求的body中的引數(json物件)只能取出一次,引數丟失問題的解決方式(防sql注入過濾器的應用)

在專案即將上線的滲透測試報告中檢測出了sql注入的問題,關於這個問題的解決方案,最初的思路是寫一個全域性的過濾器,對所有請求的引數進行過濾攔截,如果存在和sql注入相關的特殊字元則攔截掉,具體細節展開以下

mysql SQL注入攻擊 解決Orm工具Hibernate,Mybatis, MiniDao 的 sql 預編譯語句 ;解決非Orm工具JDBCTemplate的

sql 預編譯語句_牛客部落格 https://blog.nowcoder.net/n/198be55df4a4406d8eb9dc2482272061?from=nowcoder_improve