使用Python防止SQL注入攻击的实现示例
178 浏览量
2020-09-16
20:38:50
上传
评论 1
收藏 142KB PDF 举报
使用使用Python防止防止SQL注入攻击的实现示例注入攻击的实现示例
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者
工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
文章背景文章背景
每隔几年,开放式Web应用程序安全项目就会对最关键的Web应用程序安全风险进行排名。自第一次报告以来,注入风险高
居其位!在所有注入类型中,SQL注入是最常见的攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言
之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的
那么在写这篇文章的时候我也是查询了国内外很多资料,最后带着问题去完善总结:
什么是Python SQL注入以及如何防止注入
如何使用文字和标识符作为参数组合查询
如何安全地执行数据库中的查询
文章演示的操作适用于所有数据库,这里的示例使用的是PG,但是效果跟过程可以在其他数据库(例如
SQLite,MySQL,Oracle等等系统中)重现
1. 了解了解Python SQL注入注入
SQL注入攻击是一种常见的安全漏洞。在我们日常工作中生成和执行SQL查询也同样是一项常见的任务。但是,有时候在
编写SQL语句时常常会犯下可怕错误
当我们使用Python将这些查询直接执行到数据库中时,很可能会损害到系统。所以如何成功实现组成动态SQL查询的函数,
而又不会使系统遭受Python SQL注入的威胁呢?
2. 设置数据库设置数据库
首先,建立一个新的PostgreSQL数据库并用数据填充它。在文章中,将使用该数据库直接见证Python SQL注入的工作方式及
基本操作
2.1 创建数据库创建数据库
打开你的shell工具并创建一个用户拥有的新PostgreSQL数据库:
$ createdb -O postgres psycopgtest
在这里,使用了命令行选项-O将数据库的所有者设置为用户postgres。还指定了数据库的名称psycopgtest
postgres是一个特殊用户,通常将保留该用户用于管理任务,但是对于本文章而言,可以使用postgres。但是,在实际系统
中,应该创建一个单独的用户作为数据库的所有者
新数据库已准备就绪!现在我们连接它:
$ psql -U postgres -d psycopgtest
psql (11.2, server 10.5)
Type "help" for help.
现在,可以看到以psycopgtest用户身份连接到数据库postgres。该用户也是数据库所有者,因此将具有数据库中每个表的读
取权限
2.2 构造数据创建表构造数据创建表
这里我们需要创建一个包含一些用户信息的表,并向其中添加一些数据:
资源评论
