Python预编译语句防止SQL注入

这个月太忙,最近不太太平,我的愿望是世界和平!

==================================

今天也在找python的预编译,早上写的sql是拼接来构成的。于是找了2篇文章,还不错,分享一下大家学习。

ps:直接引用别人的话了,因为他们说的已经很好了。

错误用法:

1 sql = "select id,type,name from xl_bugs where id = %s and type = %s" % (id, type)
2 cur.execute(sql)

这种用法就是常见的拼接字符串导致sql注入漏洞的产生。看到这个突然想到上个礼拜drupal水滴的那个漏洞,其并不是预编译语句被绕过了。而是在构造带入的预编译语句的时候拼接了用户输入字符串,还未带入查询的预编译语句已经被注入了,之后带入正确的参数,最后被注入了

正确用法: execute() 函数本身有接受sql语句参数位的,可以通过python自身的函数处理sql注入问题。

1 args = (id, type)
2 cur.execute('select id, type ,name from xl_bugs where id = %s and type = %s', args )

使用如此参数带入方式,python会自动过滤args中的特殊字符,制止SQL注入的产生。

当然,这只是一篇文章,查了下另外一个,来对这个进行补充:

execute()函数本身就有接受SQL语句变量的参数位,只要正确的使用(直白一点就是:使用”逗号”,而不是”百分号”)就可以对传入的值进行correctly转义,从而避免SQL注入的发生。

example:

 1 import sqlite3
 2  
 3 con = sqlite3.connect(":memory:")
 4 cur = con.cursor()
 5 cur.execute("create table people (name_last, age)")
 6  
 7 who = "Yeltsin"
 8 age = 72
 9  
10 # This is the qmark style:
11 cur.execute("insert into people values (?, ?)", (who, age))
12  
13 # And this is the named style:
14 cur.execute("select * from people where name_last=:who and age=:age", {"who": who, "age": age})
15  
16 print cur.fetchone()

本文参考信息:

http://xlixli.net/?p=377

https://crazyof.me/blog/archives/2224.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏lgp20151222

java运行jar命令提示没有主清单属性

1.这样的问题是因为,jar包中的META-INF文件夹下的MANIFEST.MF文件缺少定义jar接口类。说白了就是没有指定class类。这里说明一下MANI...

55520
来自专栏贾鹏辉的技术专栏@CrazyCodeBoy

Java代理和动态代理机制分析和应用

本博文中项目代码已开源下载地址:GitHub Java代理和动态代理机制分析和应用 概述 代理是一种常用的设计模式,其目的就是为其他对象提供一个代理以控制对某个...

34960
来自专栏微信公众号:Java团长

什么是线程安全,你真的了解吗?

我们整天说线程安全,但是你对什么是线程安全真的了解嘛?说真的,我之前真的是了解甚微,那么我们今天就来聊聊这个问题。

16630
来自专栏Java学习网

Java中使用Hibernate系列之过滤器(filters)学习

Hibernate3新增了对某个类或者集合使用预先定义的过滤器条件(filter criteria)的功能。过滤器条件相当于定义一个 非常类似于类和各种集合上的...

23260
来自专栏dotnet & java

WCF 入门(20)

今天第20集了。这个视频系列里面有6集和异常相关,这集是最后一集。前面几集讲了服务端遇到普通的 .net exception时候,要转换城Soap Fault,...

7230
来自专栏逆向技术

C++反汇编第六讲,认识C++中的Try catch语法,以及在反汇编中还原

      C++反汇编第六讲,认识C++中的Try catch语法,以及在反汇编中还原 我们以前讲SEH异常处理的时候已经说过了,C++中的Try catch...

255100
来自专栏向治洪

数据结构之堆和栈

内存分配策略     按照编译原理的观点,程序运行时的内存分配有三种策略,分别是静态的,栈式的,和堆式的.  静态存储分配是指在编译时就能确定每个数据目标...

24690
来自专栏marsggbo

python3编码问题终结者--还搞不懂你来找我

python unicode bytes str 编码 首先需要说明一下,该篇文章是以python3为基础的,python2是否适合没有验证过。 由于pytho...

91490
来自专栏hbbliyong

设计模式名录

本文给出了经典的23种设计模式的名录,包括他们的分类、名称、定义以及简要说明,方便大家能够快速的回忆起他们。也是前面写过的或者后面将要写的设计模式的一个目录。...

29670
来自专栏一个会写诗的程序员的博客

JVM、Java编译器和Java解释器

java解释器就是把在java虚拟机上运行的目标代码(字节码)解释成为具体平台的机器码的程序。即jdk或jre目录下bin目录中的java.exe文件,而jav...

1.1K20

扫码关注云+社区

领取腾讯云代金券