编程 Python

Python sql注入过滤字符串的非法字符实例

Posted in Python onApril 03, 2020

我就废话不多说了，还是直接看代码吧！

#coding:utf8
#在开发过程中，要对前端传过来的数据进行验证，防止sql注入攻击，其中的一个方案就是过滤用户传过来的非法的字符


def sql_filter(sql, max_length=20):
 dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "<", ">", "+", "%", "$", "(", ")", "%", "@","!"]
 for stuff in dirty_stuff:
  sql = sql.replace(stuff, "")
 return sql[:max_length]


username = "1234567890!@#!@#!@#$%======$%"

username = sql_filter(username) # SQL注入
print username

# 输出结果是:1234567890

补充知识：python解决sql注入以及特殊字符

python往数据库插入数据，

基础做法是：

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (1, '1', 'aa')"
cur.execute(sql,())

也可以这样：

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (%s, '%s', '%s')"
sql=sql%('2','2','bb')
cur.execute(sql,())

但是当含有特殊一点的字符时就有问题了，比如单引号，%等，甚至会被sql注入。

和其他语言一样，python也他的方法来解决sql注入。

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (%s, %s, %s)"
cur.execute(sql,('3','3','c%c'))

注意，后面2个%s的前后单引号去掉了。

结果如下：

Python sql注入过滤字符串的非法字符实例

以上这篇Python sql注入过滤字符串的非法字符实例就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持三水点靠木。

Python sql注入过滤字符串的非法字符实例

- Author -

淋哥

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

Python 相关文章推荐

Python中optionParser模块的使用方法实例教程

Aug 29 Python

Python是编译运行的验证方法

Jan 30 Python

举例讲解Python中is和id的用法

Apr 03 Python

python通过post提交数据的方法

May 06 Python

python测试mysql写入性能完整实例

Jan 18 Python

python实现读Excel写入.txt的方法

Apr 29 Python

PyQt5 pyqt多线程操作入门

May 05 Python

Pandas-Cookbook 时间戳处理方式

Dec 07 Python

python连接PostgreSQL过程解析

Feb 09 Python

python利用百度云接口实现车牌识别的示例

Feb 21 Python

PyCharm GUI界面开发和exe文件生成的实现

Mar 04 Python

jupyter notebook快速入门及使用详解

Nov 13 Python

python传到前端的数据,双引号被转义的问题

Apr 03 #Python

Django实现将一个字典传到前端显示出来

Apr 03 #Python

Django 后台带有字典的列表数据与页面js交互实例

Apr 03 #Python

Django import export实现数据库导入导出方式

Apr 03 #Python

Django用户身份验证完成示例代码

Apr 03 #Python

基于Python共轭梯度法与最速下降法之间的对比

Apr 02 #Python

python 的topk算法实例

Apr 02 #Python

Python sql注入 过滤字符串的非法字符实例

Python sql注入过滤字符串的非法字符实例