Python中防止sql注入的方法详解


Posted in Python onFebruary 25, 2017

前言

大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Python web开发的过程中sql注入是怎么出现的呢,又是怎么去解决这个问题的?

当然,我这里并不想讨论其他语言是如何避免sql注入的,网上关于PHP(博主注:据说是世界上最?诺挠镅裕┓雷⑷氲母髦址椒ǘ加校?ython的方法其实类似,这里我就举例来说说。

起因

漏洞产生的原因最常见的就是字符串拼接了,当然,sql注入并不只是拼接一种情况,还有像宽字节注入,特殊字符转义等等很多种,这里就说说最常见的字符串拼接,这也是初级程序员最容易犯的错误。

首先咱们定义一个类来处理mysql的操作

class Database:
 aurl = '127.0.0.1'
 user = 'root'
 password = 'root'
 db = 'testdb'
 charset = 'utf8'

 def __init__(self):
  self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset)
  self.cursor = self.connection.cursor()

 def insert(self, query):
  try:
   self.cursor.execute(query)
   self.connection.commit()
  except Exception, e:
   print e
   self.connection.rollback()

 def query(self, query):
  cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
  cursor.execute(query)
  return cursor.fetchall()

 def __del__(self):
  self.connection.close()

这段代码在我之前很多脚本里面都会看见,涉及到Python操作mysql数据库的脚本我都会写进去这个类,那么这个类有问题吗?
答案是:有!

这个类是有缺陷的,很容易造成sql注入,下面就说说为何会产生sql注入。

为了验证问题的真实性,这里就写一个方法来调用上面的那个类里面的方法,如果出现错误会直接抛出异常。

def test_query(articleurl):
 mysql = Database()
 try:
  querySql = "SELECT * FROM `article` WHERE url='" + articleurl + "'"
  chanels = mysql.query(querySql)
  return chanels
 except Exception, e:
  print e

这个方法非常简单,一个最常见的select查询语句,也使用了最简单的字符串拼接组成sql语句,很明显传入的参数 articleurl 可控,要想进行注入测试,只需要在articleurl的值后面加上单引号即可进行sql注入测试,这个不多说,肯定是存在注入漏洞的,脚本跑一遍,看啥结果

(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")

回显报错,很眼熟的错误,这里我传入的测试参数是

t.tips'

下面再说一种导致注入的情况,对上面的方法进行稍微修改后

def test_query(articleurl):
 mysql = Database()
 try:
  querySql = ("SELECT * FROM `article` WHERE url='%s'" % articleurl)
  chanels = mysql.query(querySql)
  return chanels
 except Exception, e:
  print e

这个方法里面没有直接使用字符串拼接,而是使用了 %s 来代替要传入的参数,看起来是不是非常像预编译的sql?那这种写法能不能防止sql注入呢?测试一下便知道,回显如下

(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")

和上面的测试结果一样,所以这种方法也是不行的,而且这种方法并不是预编译sql语句,那么怎么做才能防止sql注入呢?

解决

两种方案

     1> 对传入的参数进行编码转义

     2> 使用Python的MySQLdb模块自带的方法

第一种方案其实在很多PHP的防注入方法里面都有,对特殊字符进行转义或者过滤。

第二种方案就是使用内部方法,类似于PHP里面的PDO,这里对上面的数据库类进行简单的修改即可。

修改后的代码

class Database:
 aurl = '127.0.0.1'
 user = 'root'
 password = 'root'
 db = 'testdb'
 charset = 'utf8'

 def __init__(self):
  self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset)
  self.cursor = self.connection.cursor()

 def insert(self, query, params):
  try:
   self.cursor.execute(query, params)
   self.connection.commit()
  except Exception, e:
   print e
   self.connection.rollback()

 def query(self, query, params):
  cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
  cursor.execute(query, params)
  return cursor.fetchall()

 def __del__(self):
  self.connection.close()

这里 execute 执行的时候传入两个参数,第一个是参数化的sql语句,第二个是对应的实际的参数值,函数内部会对传入的参数值进行相应的处理防止sql注入,实际使用的方法如下

preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"
mysql.insert(preUpdateSql, [title, date, content, aid])

这样就可以防止sql注入,传入一个列表之后,MySQLdb模块内部会将列表序列化成一个元组,然后进行escape操作。

总结

我之前的一些脚本中使用了存在sql注入漏洞的代码会慢慢改过来,好了,以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

Python 相关文章推荐
使用Python下载Bing图片(代码)
Nov 07 Python
Python构建XML树结构的方法示例
Jun 30 Python
python爬虫实战之最简单的网页爬虫教程
Aug 13 Python
python自动裁剪图像代码分享
Nov 25 Python
python pandas dataframe 按列或者按行合并的方法
Apr 12 Python
python 模拟创建seafile 目录操作示例
Sep 26 Python
python 对任意数据和曲线进行拟合并求出函数表达式的三种解决方案
Feb 18 Python
python网络编程socket实现服务端、客户端操作详解
Mar 24 Python
python矩阵运算,转置,逆运算,共轭矩阵实例
May 11 Python
python判断字符串以什么结尾的实例方法
Sep 18 Python
Pandas替换及部分替换(replace)实现流程详解
Oct 12 Python
浅谈Selenium 控制浏览器的常用方法
Dec 04 Python
Python 数据结构之旋转链表
Feb 25 #Python
Python数据结构之翻转链表
Feb 25 #Python
浅析python中SQLAlchemy排序的一个坑
Feb 24 #Python
python函数的5种参数详解
Feb 24 #Python
Python实现读取文件最后n行的方法
Feb 23 #Python
Python基础教程之tcp socket编程详解及简单实例
Feb 23 #Python
Python命令启动Web服务器实例详解
Feb 23 #Python
You might like
PHP开发框架总结收藏
2008/04/24 PHP
PHP获取用户的浏览器与操作系统信息的代码
2012/09/04 PHP
PHP查询附近的人及其距离的实现方法
2016/05/11 PHP
CI框架AR数据库操作常用函数总结
2016/11/21 PHP
PHP实现将多个文件压缩成zip格式并下载到本地的方法示例
2018/05/23 PHP
PHP常用日期加减计算方法实例小结
2018/07/31 PHP
编写跨浏览器的javascript代码必备[js多浏览器兼容写法]
2008/10/29 Javascript
JavaScript词法作用域与调用对象深入理解
2012/11/29 Javascript
javascript简单实现表格行间隔显示颜色并高亮显示
2013/11/29 Javascript
纯css+js写的一个简单的tab标签页带样式
2014/01/28 Javascript
$.each与$().each的区别示例介绍
2014/03/20 Javascript
一行命令搞定node.js 版本升级
2014/07/20 Javascript
javascript实时显示北京时间的方法
2015/03/12 Javascript
JavaScript操作URL的相关内容集锦
2015/10/29 Javascript
jquery.cookie.js用法实例详解
2015/12/25 Javascript
AngularJS表格添加序号的方法
2017/03/03 Javascript
vue实现全选、反选功能
2020/11/17 Javascript
jquery实现限制textarea输入字数的方法
2017/09/06 jQuery
js HTML5 canvas绘制图片的方法
2017/09/08 Javascript
原生js实现仿window10系统日历效果的实例
2017/10/31 Javascript
微信小程序数据分析之自定义分析的实现
2018/08/17 Javascript
layui给下拉框、按钮状态、时间赋初始值的方法
2019/09/10 Javascript
vue中使用elementUI组件手动上传图片功能
2019/12/13 Javascript
使用python实现knn算法
2017/12/20 Python
Python使用matplotlib绘图无法显示中文问题的解决方法
2018/03/14 Python
django项目用higcharts统计最近七天文章点击量
2019/08/17 Python
python中的global关键字的使用方法
2019/08/20 Python
Python使用matplotlib 模块scatter方法画散点图示例
2019/09/27 Python
python中with语句结合上下文管理器操作详解
2019/12/19 Python
Ranorex通过Python将报告发送到邮箱的方法
2020/01/12 Python
python实现删除列表中某个元素的3种方法
2020/01/15 Python
美国嘻哈文化生活方式品牌:GLD
2018/04/15 全球购物
JMS中Topic和Queue有什么区别
2013/05/15 面试题
敬老院活动总结
2014/04/28 职场文书
乡镇干部先进性教育活动个人整改措施
2014/09/16 职场文书
PHP连接MSSQL数据库案例,PHPWAMP多个PHP版本连接SQL Server数据库
2021/04/16 PHP