博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Python防止sql注入
阅读量:7281 次
发布时间:2019-06-30

本文共 1208 字,大约阅读时间需要 4 分钟。

看了网上文章,说的都挺好的,给cursor.execute传递格式串和参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python

 

最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话:

Note that the placeholder syntax depends on the database you are using'qmark' Question mark style, e.g. '...WHERE name=?' 'numeric' Numeric, positional style, e.g. '...WHERE name=:1' 'named' Named style, e.g. '...WHERE name=:name' 'format' ANSI C printf format codes, e.g. '...WHERE name=%s' 'pyformat' Python extended format codes, e.g. '...WHERE name=%(name)s'

 

我理解,就是有多种占位方式,而我一棵树上吊死,光试验%s了,所以每次都报这个错:

rs=c.execute("select * from log where f_UserName=%s","jetz")

OperationalError: near "%": syntax error

 

换一个试试,

rs=c.execute("select * from log where f_UserName=:usr",{"usr":"jetz"})

可以

再试:

rs=c.execute("select * from log where f_UserName=:1 ",["jetz"])

也可以

看了sqlite对%比较过敏

 

对于sql注入的测试效果。

1)用构造串的方式,传递用户名

getData("select * from log where f_UserName='%s'"%("jetz"))

如果传递的是测试表名存在的串,可以执行

getData("select * from log where f_UserName='%s'"%("jetz' And (Select count(*) from user)<>0 and '1'='1"))

但是,如果改用参数方式,则不能执行

getData("select * from log where f_UserName=:1","jetz' And (Select count(*) from user)<>0 and '1'='1")

 

这种近乎“原生”的防止注入手段,比对传入参数进行检测来说,实在好太多了。

转载于:https://www.cnblogs.com/jetz/p/7069425.html

你可能感兴趣的文章
测试试卷-设计发表QQ说说功能列表和测试用例
查看>>
办公管理服务Service Partner One获千万美元A轮融资
查看>>
大数据欲立法 众专家把脉规则建立
查看>>
《淘宝店铺营销推广一册通》一1.5 搜索优化之产品发布
查看>>
第四大移动操作系统诞生:万万没想到是它
查看>>
你所不知道的 EMC 开源的那些事
查看>>
《大规模元搜索引擎技(1)》一2.3 挑战环境
查看>>
《数据结构与算法 C语言版》—— 1.7上机实验
查看>>
关于 Git 你所不知道的一些事
查看>>
《现代体系结构上的UNIX系统:内核程序员的对称多处理和缓存技术(修订版)》——1.3 进程地址空间...
查看>>
中国青年报:COS 有义务回应公众质疑
查看>>
《HFSS电磁仿真设计从入门到精通》一第1章 HFSS概述
查看>>
Java并发/多线程教程——3多线程的开销
查看>>
ForestDB —— 快速的 Key-Value 存储引擎
查看>>
《智能数据时代:企业大数据战略与实战》一1.5 大数据环境下的处理分析工具...
查看>>
Let's Encrypt 客户端将由EFF管理
查看>>
基于Servlet的技术问答网站系统实现(附源码)
查看>>
写给 Python 初学者的设计模式入门
查看>>
使用Redis存储Nginx+Tomcat负载均衡集群的Session
查看>>
《电路分析导论(原书第12版)》一1.3 测量单位与单位制
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2025-02-15 05:29:45   当前IP: 3.144.97.63   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我