专栏首页Python小屋Python访问SQLite数据库使用参数化查询防SQL注入

Python访问SQLite数据库使用参数化查询防SQL注入

================

SQL注入是一种常见的攻击手法,主要实现方式是通过提供精心构造的数据使得在服务端拼接成具有恶意的SQL语句,可以实现万能登录、暴漏数据库和数据表结构、执行存储过程甚至获取超级管理员权限等,具有非常大的威胁,曾经是黑客非常常用的技术,常见于WEB网站的攻击,桌面程序也存在类似的攻击面。

例如,假设在登录界面的代码中分别使用user_name和pass_word获取用户输入的用户名和密码,然后使用下面的代码拼接SQL语句,试图返回数据表中以user_name为用户名且以pass_word为密码的记录数量,如果查询结果为0表示输入不正确,

sql = f'select count(username) from users where username="{user_name}" and password="{pass_word}"'

如果用户在登录时提交user_name = 'admin'和pass_word = '1" or 1=1--',那么上面的SQL将被拼接为

'select count(username) from users where username="admin" and password="1" or 1=1--"'

在SQL语句中“--”表示注释,后面的代码不会被执行,如此一来,语句中where的条件总是成立的,如果服务端只是简单地检查SQL语句查询结果是否大于0,那么有可能被攻击。

再例如,如果用户提交user_name = 'admin'和pass_word = '1" or quanxian="345',那么上面的语句会被拼接为

'select count(xingming) from students where xuehao="admin" and xingming="1" or quanxian="345"'

执行该语句时会抛出异常并提示

no such column: quanxian

这样一来,攻击者就可以通过暴力测试来获取数据库和数据表的结构。如果在代码中不是直接拼接SQL语句,而是使用参数化查询,可以轻易防范这种攻击。另外,对数据进行编码(例如,BASE64编码或MD5摘要)或净化(例如,删除特定的符号)后再使用,也是非常有效的防范技术。

下面几个图分别演示了拼接SQL语句和参数化查询在处理数据时的区别。

温馨提示:

关注微信公众号“Python小屋”,在公众号后台发送消息“大事记”可以查看董付国老师与Python有关的重要事件;发送消息“教材”可以查看董付国老师出版的Python系列教材(已累计印刷超过115次)的适用专业详情;发送消息“历史文章”可以查看董付国老师推送的超过1000篇原创技术文章;发送消息“会议”或“培训”可以查看近期董付国老师的培训安排;发送消息“微课”可以查看董付国老师免费分享的超过500节Python微课视频;发送消息“课件”可以查看董付国老师免费分享的Python教学资源;发送消息“小屋刷题”可以下载“Python小屋刷题神器”,免费练习1318道客观题和185道编程题,题库持续更新;发送消息“编程比赛”了解Python小屋编程大赛详情。

本文分享自微信公众号 - Python小屋(Python_xiaowu),作者:董付国

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-02-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 「Python爬虫系列讲解」六、Python 数据库知识

    前文回顾: 「Python爬虫系列讲解」一、网络数据爬取概述 「Python爬虫系列讲解」二、Python知识初学 「Python爬虫系列讲解」三、正则表达...

    荣仔_最靓的仔
  • Python小白的数据库入门

    sqlite3 以上两个是主流的关系型数据库,我们观察之后发现,它们与我们熟知的Excel好像也没有什么不同。关系型数据库里面放的都是一张张的表,就如同Exce...

    arcticfox
  • Python操作SQLite数据库

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    周小董
  • 基于Python的SQLite基础知识学习

    前一段时间偶然的看到了一个名词SQLite3,大概了解到此为一种轻量型的关系型数据库。官网介绍到SQLite是一个进程内库,它实现了一个自包含的、无服务器的、零...

    JiekeXu之路
  • 运维学python之爬虫中级篇(七)Sq

    前文已经讲过无数据库版本操作(csv,json),今天我们要开始讲有数据库版本的操作,首先就是sqlite3。

    py3study
  • Python学习之旅(三十七)

    程序运行的时候,数据都是在内存中的。当程序终止的时候,通常都需要将数据保存到磁盘上,无论是保存到本地磁盘,还是通过网络保存到服务器上,最终都会将数据写入磁盘文件...

    py3study
  • 如何利用Python和VC6.0对SQLite数据库进行操作

    这段时间由于工作上的需要,简单学习了SQLite数据库的操作,为了方便地将采集的数据写入到SQLite数据库中,我采用Python。但是由于后期需要用C来实现数...

    用户7886150
  • sqlite 的分布式实现方案:rqlite

    谢伟
  • 应当使用 SQLite 的五个原因

    SQLite 是非常优秀的数据库,能够在真实的生产环境中完成一些真正的工作。本文将列出五个我认为在2016年应当选用 SQLite 的原因。 ? 便于管理 不知...

    CSDN技术头条

扫码关注云+社区

领取腾讯云代金券