Comment empêcher l'injection SQL en Python

Avant-propos

Tout le monde doit savoir que la vulnérabilité Web numéro un est désormais SQL. Quel que soit le langage utilisé pour le développement back-end Web, du moment qu'il est relationnel. base de données est utilisée, vous pouvez rencontrer des problèmes d'attaque par injection SQL. Alors, comment l'injection SQL apparaît-elle lors du développement Web Python et comment résoudre ce problème ?

Bien sûr, je ne veux pas discuter de la façon dont d'autres langages évitent l'injection SQL. Il existe différentes manières d'empêcher l'injection en PHP (note du blogueur : on dit que c'est le langage le plus génial au monde). ) sur Internet, y compris Python. Les méthodes sont en fait similaires, je vais donc vous donner un exemple ici.

Cause

La cause la plus courante de la vulnérabilité est l'épissage de chaînes. Bien sûr, l'injection SQL n'est pas seulement un cas d'épissage. Il existe également de nombreux types tels que l'injection d'octets larges, l'échappement de caractères spéciaux, etc. Nous parlerons ici de l'épissage de chaînes le plus courant, qui est également l'erreur la plus courante pour les programmeurs débutants.

Nous définissons d'abord une classe pour gérer les opérations MySQL

class Database:
 aurl = '127.0.0.1'
 user = 'root'
 password = 'root'
 db = 'testdb'
 charset = 'utf8'

 def __init__(self):
  self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset)
  self.cursor = self.connection.cursor()

 def insert(self, query):
  try:
   self.cursor.execute(query)
   self.connection.commit()
  except Exception, e:
   print e
   self.connection.rollback()

 def query(self, query):
  cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
  cursor.execute(query)
  return cursor.fetchall()

 def __del__(self):
  self.connection.close()

Ce code a été vu dans plusieurs de mes scripts précédents, impliquant moi va écrire cette classe dans des scripts Python qui exploitent la base de données MySQL, y a-t-il donc un problème avec cette classe ?
La réponse est : Oui !

Cette classe est défectueuse et peut facilement provoquer une injection SQL. Parlons de la raison pour laquelle l'injection SQL se produit.

Afin de vérifier l'authenticité du problème, écrivez ici une méthode pour appeler la méthode de la classe ci-dessus. Si une erreur se produit, une exception sera levée directement.

def test_query(articleurl):
 mysql = Database()
 try:
  querySql = "SELECT * FROM `article` WHERE url='" + articleurl + "'"
  chanels = mysql.query(querySql)
  return chanels
 except Exception, e:
  print e

Cette méthode est très simple. L'une des instructions de requête de sélection les plus courantes utilise également l'épissage de chaîne le plus simple pour former une instruction SQL. que le paramètre saisi articleurl est contrôlable. Si vous souhaitez effectuer un test d'injection, il vous suffit d'ajouter un guillemet simple après la valeur de articleurl pour effectuer le test d'injection sql. Pas grand chose à dire, il doit y avoir une vulnérabilité d'injection. Exécutez le script et voyez quels sont les résultats.

(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")

L'erreur est signalée. C'est une erreur très familière que j'ai transmise ici. sont

t.tips'

Parlons d'une autre situation qui conduit à l'injection Après avoir légèrement modifié la méthode ci-dessus

def test_query(articleurl):
 mysql = Database()
 try:
  querySql = ("SELECT * FROM `article` WHERE url='%s'" % articleurl)
  chanels = mysql.query(querySql)
  return chanels
 except Exception, e:
  print e

Cette méthode n'utilise pas directement l'épissage de chaînes, mais utilise %s pour remplacer les paramètres à transmettre. Cela ressemble-t-il beaucoup à du SQL précompilé ? Cette façon d’écrire peut-elle empêcher l’injection SQL ? Après l'avoir testé, vous saurez que la réponse est la suivante :

(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")

est la même que le résultat du test ci-dessus, donc cette méthode ne fonctionnera pas, et cette méthode ne consiste pas à précompiler les instructions SQL, alors que peut-on faire pour empêcher l'injection SQL ?

Solution

Deux solutions

1> les paramètres d'entrée

2> Utilisez la méthode fournie avec le module MySQLdb de Python

La première solution se trouve en fait dans de nombreuses méthodes anti-injection PHP. Elle effectue une manipulation de caractères spéciaux sur les caractères spéciaux Escape. ou filtre.

La deuxième option consiste à utiliser des méthodes internes, similaires au PDO en PHP. Ici, vous pouvez simplement modifier la classe de base de données ci-dessus.

Code modifié

class Database:
 aurl = '127.0.0.1'
 user = 'root'
 password = 'root'
 db = 'testdb'
 charset = 'utf8'

 def __init__(self):
  self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset)
  self.cursor = self.connection.cursor()

 def insert(self, query, params):
  try:
   self.cursor.execute(query, params)
   self.connection.commit()
  except Exception, e:
   print e
   self.connection.rollback()

 def query(self, query, params):
  cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
  cursor.execute(query, params)
  return cursor.fetchall()

 def __del__(self):
  self.connection.close()

Lorsque l'exécution est exécutée ici, deux paramètres sont transmis. Le premier est une instruction SQL paramétrée, la seconde est la valeur réelle du paramètre correspondante. La valeur du paramètre entrant sera traitée en conséquence dans la fonction pour empêcher l'injection SQL. La méthode réelle utilisée est la suivante

preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"
mysql.insert(preUpdateSql, [title, date, content, aid])

Cela peut empêcher l'injection SQL. Après avoir transmis une liste, le module MySQLdb sérialisera la liste dans un tuple en interne, puis effectuera l'opération d'échappement.

Pour plus d'articles sur les méthodes permettant d'empêcher l'injection SQL en Python, veuillez faire attention au site Web PHP chinois !