python的sql注入_python sql注入

转载自：
python SQL注入的解决办法
python的sql注入

背景
APP爆出一个大Bug，只要在查询框内输入“%”，就会检索出所有的数据，最后有人给出了这样的解决方案，在前端进行验证，禁止用户输入“%”之类的特殊字符。
帅呆了！责任轻易地就甩给了前端！
我反问，如果百分号要进行禁止，那么“*&’“()”要不要进行禁止？“desc、select、from”等关键字要不要禁止？还有“±”，正则表达式相关的符号要不要禁止？就算输入框禁止了，直接发送http请求又如何禁止？
明明是SQL语句的生成有问题，偏偏说是验证的问题。出现这种问题，SQL语句必然是字符串拼接生成，这也一定会存在SQL注入安全问题，说得难听点，相关的SQL语句都是系统的毒瘤，必须要清除。

错误示例

 sql = "select id,name from user_table where id = %s and name = %s" % (id, name)
 cur.execute(sql)
1
2

解决方案：用占位符

# 1.  execute() 函数本身有接受sql语句参数位的，可以通过python自身的函数处理sql注入问题。
 args = (id, type)
 cur.execute('select id,name from user_table where id = %s and name = %s', args )
#2.  
rs=c.execute("select * from log where f_UserName=:usr",{"usr":"jetz"})
#3.
rs=c.execute("select * from log where f_UserName=:1 ",["jetz"])
# 使用如此参数带入方式，python会自动过滤args中的特殊字符，制止SQL注入的产生。

# 更多示例
#   连接数据库
cxn=psycopg2.connect(database='lap',user='postgres',password='root')
#   获取游标
cur = cxn.cursor()
#   执行插入语句
cur.execute('insert into t_user (username,password) VALUES (%s,%s)',('%ab','*'))
#   执行查询语句
cur.execute('select * from t_user where username = %s',("%ab",))
#   获取结果集
rows = cur.fetchall()
#   删除语句也不能拼接字符串
cur.execute('delete from t_user where userid = %s',(14,))
#   输入任何特殊字符都依旧正常
cur.execute('select * from t_user where password = %s',("*",))
#   单引号是破解SQL注入的关键
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

定义
什么是sql注入？

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
　　根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。
　　基于此，SQL注入的产生原因通常表现在以下几方面：
　　　　①不当的类型处理；
　　　　②不安全的数据库配置；
　　　　③不合理的查询集处理；
　　　　④不当的错误处理；
　　　　⑤转义字符处理不合适；
　　　　⑥多个提交处理不当。