SQL 防注入问题
所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗 服务器执行恶意的SQL命令。
例子
user=“root”
password=“123456”
如果知道用户名和密码用以下语句登录验证:
user,pwd = "root","123456"
cursor = conn.cursor()
sql = "select * from tb_login where user = '{0}' and pwd ='{1}' "
cursor.execute(sql.format(user,pwd))
row = cursor.fetchone()
print(row)
肯定是登录验证成功!
但是如果我不知道用户名和密码呢?
我也可以用下面通过验证:
user = "suiyishu' or 1=1 --'"
pwd = "2846946"
cursor = conn.cursor()
sql = "select * from tb_login where user = '{0}' and pwd ='{1}' "
cursor.execute(sql.format(user,pwd))
row = cursor.fetchone()
print(row)
竟然也通过验证了!不可思议!
那到底为什么呢?
‘or 1=1’无论前面输入什么最终用户名验证都是True
‘–’跳过密码验证
防Sql注入的方法:
1.带参数的Sql语句 : pymysql模块使用%s来实现
SQL语句参数化是解决SQL注入的最佳解决方案,在程序向数据库发送SQL执
行时,将SQL语句和参数分开传递,动态参数在SQL语句中使用占位符,在数
据库端在填入参数执行,即可规避SQL注入的问题,并提高了数据库执行效率。
• Python支持SQL参数化,动态参数用%s表示,cursor.execute()的第2个参数
位置进行SQL参数的传递,参数类型是tuple, list 或 dict。
user,pwd = "root","123456"
cursor = conn.cursor()
sql = "select * from tb_login where user = %s and pwd =%s "
cursor.execute(sql,(user,pwd))
row = cursor.fetchone()
print(row)
2.使用存储过程
存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外
部程序调用的一种数据库对象。
• 存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在数据库
中,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。
• 存储过程就是数据库 SQL 语言层面的代码封装与重用。
在stdDB数据库中创建一个存储过程p_login,如下:
CREATE PROCEDURE FindAllStu ( In p_stdID varchar(20))
BEGIN
Select * from StudentInfo where stdID = p_stdID ;
END
PyMysql模块调用存储过程:
cursor.callproc(func[,args]):调用一个存储过程
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/147468.html
