Django中的sql注入
Posted 鱼虫光
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Django中的sql注入相关的知识,希望对你有一定的参考价值。
Django中防止SQL注入的方法
方案一
总是使用Django自带的数据库API。它会根据你所使用的数据库服务器(例如PostSQL或者mysql)的转换规则,自动转义特殊的SQL参数。这被运用到了整个Django的数据库API中,只有一些例外:
传给 extra() 方法的 where 参数。 这个参数故意设计成可以接受原始的SQL。使用底层数据库API的查询。
## select提供简单数据 # SELECT age, (age > 18) as is_adult FROM myapp_person; Person.objects.all().extra(select={‘is_adult‘: "age > 18"}) # 加在select后面 ## where提供查询条件 # SELECT * FROM myapp_person WHERE first||last ILIKE ‘jeffrey%‘; Person.objects.all().extra(where=["first||last ILIKE ‘jeffrey%‘"]) # 加一个where条件 ## table连接其它表 # SELECT * FROM myapp_book, myapp_person WHERE last = author_last Book.objects.all().extra(table=[‘myapp_person‘], where=[‘last = author_last‘]) # 加from后面 ## params添参数 # !! 错误的方式 !! first_name = ‘Joe‘ # 如果first_name中有SQL特定字符就会出现漏洞 Person.objects.all().extra(where=["first = ‘%s‘" % first_name]) # 正确方式 Person.objects.all().extra(where=["first = ‘%s‘"], params=[first_name])
python中sql中注入
from pymysql import *
def main():
find_name = input("请输入物品名称:")
# 创建Connection连接
conn = connect(host=‘localhost‘,port=3306,user=‘root‘,password=‘mysql‘,database=‘jing_dong‘,charset=‘utf8‘)
# 获得Cursor对象
cs1 = conn.cursor()
# # 非安全的方式
# # 输入 " or 1=1 or " (双引号也要输入)
# sql = ‘select * from goods where name="%s"‘ % find_name
# print("""sql===>%s<====""" % sql)
# # 执行select语句,并返回受影响的行数:查询所有数据
# count = cs1.execute(sql)
# 安全的方式
# 构造参数列表
params = [find_name]
# 执行select语句,并返回受影响的行数:查询所有数据
count = cs1.execute(‘select * from goods where name=%s‘, params)
# 注意:
# 如果要是有多个参数,需要进行参数化
# 那么params = [数值1, 数值2....],此时sql语句中有多个%s即可
# 打印受影响的行数
print(count)
# 获取查询的结果
# result = cs1.fetchone()
result = cs1.fetchall()
# 打印查询的结果
print(result)
# 关闭Cursor对象
cs1.close()
# 关闭Connection对象
conn.close()
if __name__ == ‘__main__‘:
main()
请注意在cursor.execute() 的SQL语句中使用“%s”,而不要在SQL内直接添加参数。 如果你使用这项技术,数据库基础库将会自动添加引号,同时在必要的情况下转意你的参数。
以上是关于Django中的sql注入的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段