Python进阶——SQL注入实例
原创
概述
SQL注入是一种十分常见的网络攻击行为,主要是通过非法参数执行 sql 语句,进行预期之外的操作。
原因:传入的参数改变SQL的语义,变成了其他命令,从而操作了数据库
解决方式:SQL语句使用拼接的方式,禁止使用非法参数
常用的注入方式(万能密码):'2 or 1=1'或' or 1 = 1 or '
原本 sql 语句的判断条件被 or 短路成为了永远正确的语句
代码实现
# 1. 导包
import pymysql
if __name__ == '__main__':
# 2. 创建连接对象
# connect = Connection = Connect 本质上是一个函数,使用这三个里面的任何一个函数都可以创建一个连接对象
# 1. host : 服务器的主机地址
# 2. port: mysql数据库的端口号
# 3. user: 用户名
# 4. password:密码
# 5. database: 操作的数据库
# 6. charset: 操作数据库使用的编码格式
conn = pymysql.connect(host="localhost",
port=3306,
user="root",
password="mysql",
database="python41",
charset="utf8")
# 3. 获取游标, 目的就是要执行sql语句
cursor = conn.cursor()
# 准备sql, 之前在mysql客户端如何编写sql,在python程序里面还怎么编写
sql = "select * from students where name = '%s';" % "黄蓉' or 1 = 1 or '"
print(sql)
# 4. 执行sql语句
cursor.execute(sql)
# 获取查询的结果, 返回的数据类型是一个元组
# row = cursor.fetchone()
# print(row)
# 返回的数据类型是一个元组,其中元组里面的每条数据还是元组
result = cursor.fetchall()
for row in result:
print(row)
# 5. 关闭游标
cursor.close()
# 6. 关闭连接
conn.close()原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录