Python防止sql注入

看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python

最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话:

Note that the placeholder syntax depends on the database you are using

'qmark' Question mark style, e.g. '...WHERE name=?' 
'numeric' Numeric, positional style, e.g. '...WHERE name=:1' 
'named' Named style, e.g. '...WHERE name=:name' 
'format' ANSI C printf format codes, e.g. '...WHERE name=%s' 
'pyformat' Python extended format codes, e.g. '...WHERE name=%(name)s'

我理解,就是有多种占位方式,而我一棵树上吊死,光试验%s了,所以每次都报这个错:

rs=c.execute("select * from log where f_UserName=%s","jetz")

OperationalError: near "%": syntax error

换一个试试,

rs=c.execute("select * from log where f_UserName=:usr",{"usr":"jetz"})

可以

再试:

rs=c.execute("select * from log where f_UserName=:1 ",["jetz"])

也可以

看了sqlite对%比较过敏

对于sql注入的测试效果。

1)用构造串的方式,传递用户名

getData("select * from log where f_UserName='%s'"%("jetz"))

如果传递的是测试表名存在的串,可以执行

getData("select * from log where f_UserName='%s'"%("jetz' And (Select count(*) from user)<>0 and '1'='1"))

但是,如果改用参数方式,则不能执行

getData("select * from log where f_UserName=:1","jetz' And (Select count(*) from user)<>0 and '1'='1")

这种近乎“原生”的防止注入手段,比对传入参数进行检测来说,实在好太多了。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏帘卷西风的专栏

关于mysql自增id的获取和重置

转载请注明出处:帘卷西风的专栏(http://blog.csdn.net/ljxfblog)

49220
来自专栏python学习指南

Elasticsearch多索引

 在Elasticsearch中,一般的查询都支持多索引。 只有文档API或者别名API等不支持多索引操作,因此本篇就翻译一下多索引相关的内容。 首先,先...

57660
来自专栏木子昭的博客

<导图>Mysql入门基础语法及示例

数据库操作 查看所有数据库 show database; 创建数据库 语法 create database 数据库名 charset=utf8; 示例 ...

30790
来自专栏Java成长之路

单例模式

所谓饿汉式单例设计模式,就是将类的静态实例作为该类的一个成员变量,也就是说在JVM 加载它的时候就已经创建了该类的实例,因此它不会存在多线程的安全问题。

11130
来自专栏运维咖啡吧

Django model select的各种用法详解

Q对象可以对关键字参数进行封装,从而更好的应用多个查询,可以组合&(and)、|(or)、~(not)操作符。

11730
来自专栏chenssy

【死磕Java并发】-----Java内存模型之从JMM角度分析DCL

DCL,即Double Check Lock,即双重检查锁定。其实DCL很多人在单例模式中用过,LZ面试人的时候也要他们写过,但是有很多人都会写错。他们为什么会...

13430
来自专栏专注 Java 基础分享

初识Hibernate之继承映射

     前面的两篇文章中,我们介绍了两张表之间的各种相互关联映射关系,但往往我们也会遇到两张表甚至多张表之间共有着多个相同的字段。例如: ? 如图,stude...

19580
来自专栏别先生

一脸懵逼学习oracle

oracle的默认用户:system,sys,scott; 1:查看登录的用户名:show user; 2:查看数据字典:dba_users; 3:创建新...

19070
来自专栏chenssy

【死磕Java并发】—–Java内存模型之从JMM角度分析DCL

DCL,即Double Check Lock,中卫双重检查锁定。其实DCL很多人在单例模式中用过,LZ面试人的时候也要他们写过,但是有很多人都会写错。他们为什么...

416110
来自专栏哲学驱动设计

优化OEA中的聚合SQL

    之前写过几篇关于聚合对象SQL的文章,讲的是如果设计框架,使用一句SQL语句来加载整个聚合对象树中的所有数据。相关内容,参见:《性能优化总结(二):聚合...

25070

扫码关注云+社区

领取腾讯云代金券