python SQL注入的解决办法
来源:互联网 发布:西安vb舞蹈工作室官网 编辑:程序博客网 时间:2024/04/30 12:52
APP爆出一个大Bug,只要在查询框内输入“%”,就会检索出所有的数据,最后有人给出了这样的解决方案,在前端进行验证,禁止用户输入“%”之类的特殊字符。
帅呆了!责任轻易地就甩给了前端!
我反问,如果百分号要进行禁止,那么“*&’“()”要不要进行禁止?“desc、select、from”等关键字要不要禁止?还有“+-”,正则表达式相关的符号要不要禁止?就算输入框禁止了,直接发送http请求又如何禁止?
明明是SQL语句的生成有问题,偏偏说是验证的问题。出现这种问题,SQL语句必然是字符串拼接生成,这也一定会存在SQL注入安全问题,说得难听点,相关的SQL语句都是系统的毒瘤,必须要清除。
解决办法其实很简单,用占位符即可,实例如下:
# 连接数据库cxn=psycopg2.connect(database='lap',user='postgres',password='root')# 获取游标cur = cxn.cursor()# 执行插入语句cur.execute('insert into t_user (username,password) VALUES (%s,%s)',('%ab','*'))# 执行查询语句cur.execute('select * from t_user where username = %s',("%ab",))# 获取结果集rows = cur.fetchall()
更多实例,供参考:
# 删除语句也不能拼接字符串cur.execute('delete from t_user where userid = %s',(14,))# 输入任何特殊字符都依旧正常cur.execute('select * from t_user where password = %s',("*",))# 单引号是破解SQL注入的关键cur.execute('select * from t_user where password = %s',("'",))
最后,再说一句,不要给用户设置太多的限制,这是别人的自由,你管不着!
0 0
- python SQL注入的解决办法
- SQL注入式攻击的解决办法
- 网站URL注入和SQL注入的解决办法
- sql注入二 解决办法
- sql注入及其解决办法
- 防止SQL注入解决办法
- sql防注入解决办法
- sql盲注入 python
- 关于网站SQL注入的问题,以及解决办法
- sql注入攻击详解(三)sql注入解决办法
- sql注入攻击(三)sql注入解决办法
- sql注入攻击详解(三)sql注入解决办法
- sql注入攻击详解(三)sql注入解决办法
- python 防sql注入写法
- python检测SQL注入的相关代码(参考lijiejie)
- 数据库被批量注入解决办法(SQL语句)
- 关于SQL注入问题-,于解决办法
- 网站SQL注入漏洞原理及解决办法
- Nginx常用配置
- git-scm
- 使用CocoaPods过程中的几个问题
- Android接收UDP TS流实现边缓存边播放
- python学习
- python SQL注入的解决办法
- cocos2dx 2.13 android studio配置
- C语言条件编译及编译预处理阶段
- Android CTS Verifier Sensor Test Cases (5)
- LeetCode -- 63 Unique Paths II
- 林达华推荐有关机器学习的数学书籍
- 文件封装格式总结
- H5 -input datalist属性
- 摄像机成像模型