2. 程式人生 > >sql注入與防止SQL注入之引數化處理

sql注入與防止SQL注入之引數化處理

阿新 發佈:2018-11-25

sql注入的兩種情況:

操作程式碼:

import pymysql

user = input('使用者名稱: ').strip()
pwd = input('密碼: ').strip()

# 連結
conn = pymysql.connect(host='localhost', user='root', password='123', database='db1', charset='utf8')
# 遊標
cursor = conn.cursor()  # 執行完畢返回的結果集預設以元組顯示
# cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)
 



# 執行sql語句
sql = 'select * from t1 where name="%s" and pwd="%s"' % (user, pwd)  # 注意%s需要加引號
print(sql)
res = cursor.execute(sql)  # 執行sql語句,返回sql查詢成功的記錄數目
print(res)

cursor.close()
conn.close()

if res:
    print('登入成功')
else:
    print('登入失敗')

正常情況

使用者名稱: zj
密碼: 123
select * from t1 where name="
 
zj" and pwd="123"
1
登入成功

sql注入 

  1、sql注入之:使用者存在,繞過密碼

使用者名稱: zj" -- saaa
密碼: a
select * from t1 where name="zj" -- saaa" and pwd="a"
1
登入成功

  2、sql注入之:使用者不存在,繞過使用者與密碼

使用者名稱: 12e" or 1=1 -- asddas
密碼: 
select * from t1 where name="12e" or 1=1 -- asddas" and pwd=""
1
登入成功

 

防止SQL注入之引數化處理

優化後的程式碼

import pymysql

user = input('使用者名稱: ').strip()
pwd = input('密碼: ').strip()
# 開啟資料庫連線
conn = pymysql.connect(host='localhost', user='root', password='123', database='db1', charset='utf8')

# 建立一個遊標物件
cursor = conn.cursor()

# 引數化處理

sql = "select * from t1 where name=%s and pwd=%s"  # 注意%s需要去掉引號,因為pymysql會自動為我們加上

print(sql)
res = cursor.execute(sql, [user, pwd])  # 執行sql語句,返回sql查詢成功的記錄數目
print("res:", res)

# 關閉遊標
cursor.close()
# 關閉資料庫
conn.close()

if res:
    print('登入成功')
else:
    print('登入失敗')

正確輸入

使用者名稱: zj
密碼: 123
select * from t1 where name=%s and pwd=%s
res: 1
登入成功

sql注入,失敗示例

使用者名稱: zj" -- sad
密碼: a
select * from t1 where name=%s and pwd=%s
res: 0
登入失敗

 

相關推薦

sql注入防止SQL注入引數處理

sql注入的兩種情況: 操作程式碼: import pymysql user = input('使用者名稱: ').strip() pwd = input('密碼: ').strip() # 連結 conn = pymysql.connect(host='localhost', user='ro

sql注入防止sql注入

資料庫中的資料 sql程式碼 package com.zjw.jdbc2; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.

Android五種資料儲存方式SQLite資料庫儲存 載入SD卡資料庫 sql操作 事務 防止SQL注入

資料庫 前言 資料庫儲存 資料庫建立 內建儲存資料庫 外接儲存資料庫 編寫DAO 插入操作 更新操作 刪除操作 查詢操作

sql註入防止SQL註入參數處理

NPU dict class 登錄 int 處理 where cal 執行 sql註入的兩種情況: 操作代碼: import pymysql user = input(‘用戶名: ‘).strip() pwd = input(‘密碼: ‘).strip() # 鏈接

過濾SQL關鍵字,防止SQL注入

轉自https://blog.csdn.net/qq_26947857/article/details/80745655 定義一個方法進行關鍵字的過濾,方法中使用正則表示式過濾: ///<summary> /// 過濾字串中注入SQL指令碼的方法

SQL Server 動態行轉列(引數表名、分組列、行轉列欄位、欄位值)

一.本文所涉及的內容(Contents) 二.背景(Contexts)   其實行轉列並不是一個什麼新鮮的話題了,甚至已經被大家說到爛了,網上的很多例子多多少少都有些問題,所以我希望能讓大家快速的看到執行的效果,所以在動態列的基礎上再把表、分組欄位、行轉列欄位、值這四個行轉列固定需要的值變成真正意義的

Spring容器框架、spring ioc、兩種注入方法set注入構造器注入

#1>spring是什麼? spring是一個輕量級的控制反轉(IoC)和麵向切面(AOP)的容器框架 ——從大小與開銷兩方面而言Spring都是輕量的 ——通過控制反轉(IOC)的技術達到鬆耦合的目的 ——提供了面向切面程式設計的豐富支援,允許通過分離應用的業務

Spring的兩種依賴注入方式:setter方法注入構造方法注入

   Spring的兩種依賴注入方式:setter注入與構造方法注入,這兩種方法的不同主要就是在xml檔案下對應使用property和constructor-arg屬性, 例如: property屬

Google開源C++單元測試框架Google Test系列(gtest)引數

      在設計測試案例時,經常需要考慮給被測函式傳入不同的值的情況。我們之前的做法通常是寫一個通用方法,然後編寫在測試案例呼叫它。即使使用了通用方法,這樣的工作也是有很多重複性的,程式設計師都懶,都希望能夠少寫程式碼,多複用程式碼。      Google的程式設計師也

loadRunner引數,對使用者名稱和密碼進行引數,並列印輸出

錄製指令碼,對使用者名稱和密碼進行引數化: Action() { web_url("WebTours", "URL=http://127.0.0.1:1080/WebTours/", "Res

Jenkins引數構建過程

1. 操作環境 1. Windows: win10 2. Jenkins Jenkins 2.75 3. Ant apache-ant-1.10.1 2. 設定位置   在這裡,我們是通過“引數化構建過程”中新增“St

jmeter學習指南引數CSV Data Set Config

今天大家一起來學習一下引數化的一個重要工具,我們在寫指令碼時,經常要用到引數化,而實現引數化最常用的方法之一就是使用CSV Data Set Config元件,使用方便,功能強大。 簡單的使用方法估計大家都會,或者說很容易就會了,但是,如果說是比較複雜的配置,估計就有很多人會被繞暈了(我剛開始也經常暈~

使用LoadRunner引數取值

改變引數化的取值方式,關鍵在於Select next row和Update value on這兩個選項。   Select next row包括以下選項: Sequential:順序方式 Random:隨機方式 Unique:唯

四十八、mysql資料庫7:Mysqlpython的互動、引數(重點pythonmysql互動傳參)

一、使用python命令連線資料庫流程 二、python3 安裝pymysql包 建立py檔案,進行插入資料:通過python檔案來連線資料庫實現互動(前提需要安裝pymysql包) 1、Li

Jmeter——Jmeter引數CSV Data Set Config

一、準備引數化資料:/Users/wuxi/Documents/apache-jmeter-3.2/script/user.txt二、準備指令碼,先登入 再獲取使用者資訊引數化使用:${__thread

Jmeter於Oracle資料庫引數

Jmeter操作Oracle資料庫的基礎操作參考Jmeter與Oracle 本節將為操作資料庫時做引數化做介紹 1、準備引數檔案 新建txt,填寫引數,如下圖:每行可填寫多列,之間用英文逗號分割,儲存為UTF-8格式 2、Jmeter執行緒組中新增-配置元件-CSV Da

Delphi引數型別(泛型)

Delphi做容器比較不方便的地方就是沒有泛型,也就是引數化型別. 例如TList裡面每一項是TForm.那麼Delphi就不能使用List[I].Show();這樣的方法.而必須做型別轉換. TForm(List[I]).Show(); 雖說一樣能實現,但是畢竟麻煩.C++

LoadRunner-Vuser引數、關聯、事務、檢查點、集合點的使用

引數化目的:模擬真實使用者操作和建立現實的結果。如果每次輸入相同的查詢內容,伺服器會有相應的快取,查詢速度就會很快,與實際使用者使用場景不一致。 (一)引數化步驟: 1. 確定需要引數化的資料(a.業務系統要求某些資料唯一 b.某些資料不改變,會對效能產生影響) 2. 選

Jmeter引數

第一種方式:利用函式助手,檔名稱必須是絕對路徑D:\dd.txt從第一列開始取數,要先0從開始設定好之後點選生成,然後複製生成好的函式字串第二種:CSV data set config配置元件裡新增CSV檔案設定檔名:要到絕對路徑檔案編碼:選擇UTF-8變數名稱:自己設定好變

Pytest進階引數

前言 unittest單元測試框架使用DDT進行資料驅動測試,那麼身為功能更加強大且更加靈活的Pytest框架怎麼可能沒有資料驅動的概念呢?其實Pytest是使用@pytest.mark.parametrize裝飾器來實現資料驅動測試的,那麼今天我們就簡單來說說在它是如何進行資料驅動測試的 單個引數