2. 程式人生 > >pymysql 解決 sql 注入問題

pymysql 解決 sql 注入問題

阿新 發佈:2018-12-02

1. SQL 注入

SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。
例如,下面這段程式碼通過獲取使用者資訊來校驗使用者許可權:

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = ' + str(input['id']) + ' AND password = "' + input['password'] + '"'
cursor = dbclient.cursor(
 
pymysql.cursors.DictCursor)
cursor.execute(sql)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
    print('登陸成功')

但是,如果傳入引數是:

input['id'] = '2 or 1=1'

你會發現,使用者能夠直接登入到系統中,因為原本 sql 語句的判斷條件被 or 短路成為了永遠正確的語句。
這裡僅僅是舉一個例子,事實上,sql 注入的方式還有很多種,這裡不深入介紹了。
總之,只要是通過使用者輸入資料來拼接 sql 語句,就必須在第一時間考慮如何避免 SQL 注入問題。
那麼,如何防止 SQL 注入呢?

2. 預防 SQL 注入 – pymysql 引數化語句

pymysql 的 execute 支援引數化 sql,通過佔位符 %s 配合引數就可以實現 sql 注入問題的避免。

import pymysql

sql = 'SELECT count(*) as count FROM user WHERE id = %s AND password = %s'
valus = [input['id'], input['password']]
cursor =
 
 dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql, values)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
    print('登陸成功')

這樣引數化的方式,讓 mysql 通過預處理的方式避免了 sql 注入的存在。
需要注意的是,不要因為引數是其他型別而換掉 %s,pymysql 的佔位符並不是 python 的通用佔位符。
同時,也不要因為引數是 string 就在 %s 兩邊加引號,mysql 會自動去處理。

3. 預防 SQL 注入 – mysql 儲存過程

資料庫儲存過程是 mysql 的一種高階用法,但是一般來說,並不建議使用資料庫的儲存過程。
主要原因是:

  1.  儲存過程的語法與普通 SQL 語句語法相差太大,增加維護成本
  2.  儲存過程在各資料庫間不通用且差別較大,給資料庫的移植和擴充套件帶來困難
  3.  編寫困難,資料庫指令碼語言使用起來還是很不方便的,包括很多資料結構的缺失,讓很多事情做起來很困難
  4.  除錯困難,雖然有一些功能強大的 IDE 提供了資料庫儲存過程的除錯功能,但是通常你需要同時在資料庫層面上和業務中同時進行除錯,兩處除錯極為不便
  5.  業務耦合,編寫儲存過程通常是需要在其中放入部分業務邏輯,這使得業務分散在資料層,業務層與資料層的耦合對於專案維護和擴充套件都會帶來極大地不便

但是,雖然不建議使用儲存過程,但是畢竟可以依賴他實現各種跨語言的 sql 注入預防,在複雜的場景下還是有其使用價值的,這裡僅做一些介紹。

3.1. 儲存過程編寫

delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql (
    in nid1 INT,
    in nid2 INT,
    in callsql VARCHAR(255)
)
BEGIN
    set @nid1 = nid1;
    set @nid2 = nid2;
    set @callsql = callsql;
    PREPARE myprod FROM @callsql;
    --   PREPARE prod FROM 'select * from tb2 where nid>? and nid<?';  傳入的值為字串,?為佔位符
    --   用@p1,和@p2填充佔位符
    EXECUTE myprod USING @nid1,@nid2;
    DEALLOCATE prepare myprod;

END\delimiter ;

3.2. pymsql 中呼叫

import pymysql

cursor = conn.cursor()
mysql="SELECT * FROM user where nid > ? and nid < ?"
cursor.callproc('proc_sql', args=(11, 15, mysql))
rows = cursor.fetchall()
conn.commit()

4. 參考資料

https://stackoverflow.com/questions/5785154/python-mysqldb-issues-typeerror-d-format-a-number-is-required-not-str。
http://www.bubuko.com/infodetail-2050847.html。

相關推薦

pymysql 解決 sql 注入問題

1. SQL 注入 SQL 注入是非常常見的一種網路攻擊方式,主要是通過引數來讓 mysql 執行 sql 語句時進行預期之外的操作。 例如,下面這段程式碼通過獲取使用者資訊來校驗使用者許可權: import py

關於使用佔位符來解決SQL注入

總結: SQL已經預編譯好了,然後替換中間的佔位符,這個佔位符在編譯後就已經確定了它只是一個引數屬性。因此,用注入的程式碼去替換佔位符,這個SQL也不會再進行編譯了,所以也達不到注入的目的。 SQL注入並不是一個在SQL內不可解決的問題,這種攻擊方式的存在也不能完全歸

iBatis解決自動防止sql注入

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

MySQL— pymysql模組(防止sql注入),視覺化軟體Navicat

一.Pymysql import pymysql #python2.X 中是 mysqldb 和 pythonmysql 用法是一模一樣的 #pymysql可以偽裝成上面這兩個模組 user = input('username: ') pwd = input('passwo

SQL注入:sleep()函式相關解決方案

最近做安全掃描的時候,經常遇到sleep()型的SQL注入,這個是request傳送後會產生一個timeout的delay,沒有respond。 跟我之前遇到的一般意思SQL注入不一樣,之前的是SQL語句拼接產生的注入,會通過注入點抓到資料庫。 這個相當於一種DDOS攻擊,向資料庫不停的

Java程式設計師從笨鳥到菜鳥之(一百零二)sql注入攻擊詳解(三)sql注入解決辦法

                在前面的部落格中,我們詳細介紹了:      我們瞭解了sql注入原理和sql注入過程,今天我們就來了解一下sql注入的解決辦法。怎麼來解決和防範sql注入,由於本人主要是搞java web開發的小程式設計師,所以這裡我只講一下有關於java web的防止辦法。其實對於其他的,

SQL注入解決方法

                         

MyBatis 防止 % _ sql 注入攻擊 解決方法

首先說思路,在mybatis中防止sql注入,目前只能在Controller層進行轉義,後臺sql進行查詢,然後在controller層轉義回來,返回到前臺。 理論上應該可以在dao.xml中進行判斷   但是目前還沒寫出來。Orz 上程式碼 @RequiresPer

Mybatis like 查詢 防止SQL注入方法相關原理和解決方法整理

SQL注入:引自百度百科: 所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串,最終達到欺騙伺服器執行惡意的SQL命令。具體來說,它是利用現有應用程式,將(惡意)的

Web開發常見的幾個漏洞解決方法 ---SQL注入

平時工作,多數是開發Web專案,由於一般是開發內部使用的業務系統,所以對於安全性一般不是看的很重,基本上由於是內網系統,一般也很少會受到攻擊,但有時候一些系統平臺,需要外網也要使用,這種情況下,各方面的安全性就要求比較高了,所以往往會交付給一些專門做安全測試的第三方機構進行

SQL 盲注、SQL 注入、跨站點指令碼編制可能解決方案

跨站       3.點指令碼編制 詳細資訊 有多種減輕威脅的技巧: [1] 策略:庫或框架 使用不允許此弱點出現的經過稽核的庫或框架,或提供更容易避免此弱點的構造。 可用於更輕鬆生成正確編碼的輸出的庫和框架示例包括 Microsoft 的 Anti-XSS 庫、OWA

SQL注入及如何解決

SQL注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的SQL語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫伺服器執行非授權的任意查詢,從而進一步得到相應的資料資訊。 1、SQL注入案例  模擬一個使

解決SQL Server 阻止了對組件 'Ad Hoc Distributed Queries' 的 STATEMENT 'OpenRowset/OpenDatasource' 的訪問

option eight img 導入 col cnblogs 數據 編輯器 code 根據需要進行asp.net的數據導入導出,結果報以下錯: SQL Server 阻止了對組件 ‘Ad Hoc Distributed Queries‘ 的 STATEMENT ‘Open

解決SQL盲註和跨站腳本攻擊

replace req servlet get extends turn lac batis void 今天測試用IBM的AppScan,對系統進行測試,發現了系統的安全漏洞,分別是SQL盲註和跨站腳本攻擊,這兩種安全隱患都是利用參數傳遞的漏洞趁機對系統進行攻擊。截圖如下:

解決 SQL Server 所有帳號無 sysadmin 權限,且未啟用 SQL Server 身份驗證,sa 帳號也未啟用的問題

服務 sta gem 編輯 ble word mode 編輯器 with 解決 未啟用 SQL Server 身份驗證 的問題: 1. 運行 regedit,進入註冊表編輯器 2. 打開:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Micro

【轉載】解決SQL Server 阻止了對組件 'Ad Hoc Distributed Queries' 的 STATEMENT'OpenRowset/OpenDatasource' 的訪問的方法

com .html style color statement 轉載 ons server http 1、開啟Ad Hoc Distributed Queries組件,在sql查詢編輯器中執行如下語句: exec sp_configure ‘show advanced

如何解決SQL Server 2008 無法連接到(local)

選擇 ima self 服務器類型 clear erl 引擎 gem sign 打開SQL SERVER配置管理--》SQL SERVER 網絡配置--》實例名的協議 將SQLEXPRESS協議中的Named Pipes和 TCP/IP啟用。

如何監控和解決SQL Server的阻塞(1) (當前阻塞)

host tab tool alt 現象 dmv fonts 毫秒 .text 1. 什麽是"阻塞"? 阻塞是SQL數據庫應用"鎖"機制的一個副作用。當一個應用請求針對某個數據庫對象(例如全表,某行數據, 或者是某個數據頁)加鎖後,那麽這個鎖會阻塞其它的應用請求。這就好像你

為什麽pymysql執行SQL語句提示成功但實際並沒有操作數據庫?

PyQt5 Python pymysql 開發環境:Anaconda3+PyCharm2018問題:使用pymysql插入數據提示成功,連接數據庫發現並沒有數據。原因:pymysql在連接數據庫的時候會有一個參數autocommit默認為False,表示執行完SQL語句後是否自動提交到真正的數據庫

php對前臺提交的表單資料做安全處理(防SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa