Comment empêcher l'injection SQL à l'aide de Python

Avant-propos

La vulnérabilité Web numéro un n'est autre que SQL. Quel que soit le langage utilisé pour le développement back-end Web, tant qu'une base de données relationnelle est utilisée, SQL. des attaques par injection peuvent être rencontrées. Alors, comment l'injection SQL apparaît-elle lors du processus de développement web Python, et comment résoudre ce problème ?

Bien sûr, je ne veux pas discuter de la façon dont d'autres langages évitent l'injection SQL. Il existe différentes méthodes pour empêcher l'injection dans PHP sur Internet. en fait similaire, ici Laissez-moi vous donner un exemple.

Cause

La cause la plus courante de la vulnérabilité est l'épissage de chaîne Bien sûr, l'injection SQL n'est pas seulement l'épissage, il y a aussi des choses comme les octets larges. Il y en a beaucoup. types d'injection, caractères spéciaux échappement, etc. Nous parlerons ici de l'épissage de chaînes le plus courant, qui est également l'erreur la plus courante pour les programmeurs débutants.

Nous définissons d'abord une classe pour gérer le fonctionnement de mysql

class Database:
    hostname = '127.0.0.1'
    user = 'root'
    password = 'root'
    db = 'pythontab'
    charset = 'utf8'
    def init(self):
        self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset)
        self.cursor = self.connection.cursor()
    def insert(self, query):
        try:
            self.cursor.execute(query)
            self.connection.commit()
        except Exception, e:
            print e
            self.connection.rollback()
    def query(self, query):
        cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
        cursor.execute(query)
        return cursor.fetchall()
    def del(self):
        self.connection.close()

Y a-t-il un problème avec cette classe ?

La réponse est : Oui !

Cette classe est défectueuse et peut facilement provoquer une injection SQL. Parlons de la raison pour laquelle l'injection SQL se produit.

Afin de vérifier l'authenticité du problème, voici une méthode pour appeler la méthode de la classe ci-dessus. Si une erreur se produit, une exception sera levée directement <.>.

def test_query(testUrl):
    mysql = Database()
    try:
        querySql = "SELECT * FROM `article` WHERE url='" + testUrl + "'"
        chanels = mysql.query(querySql)
        return chanels
    except Exception, e:
        print e

Cette méthode est très simple. L'une des instructions select

query utilise également la concaténation de chaînes la plus simple pour former une instruction SQL. Il est évident que le paramètre testUrl est transmis. est contrôlable, si vous souhaitez effectuer des tests d'injection, il vous suffit d'ajouter un guillemet simple après la valeur de testUrl pour effectuer des tests d'injection SQL. Pas grand chose à dire, il doit y avoir une vulnérabilité d'injection. Exécutez le script et voyez ce qu'il en est. le résultat est

(1064, "Vous avez une erreur dans votre syntaxe SQL ; consultez le manuel qui correspond à la version de votre serveur MariaDB

pour le right syntaxe à utiliser près de ''t.tips''' à la ligne 1")

affiche une erreur, une erreur très familière. Le paramètre de test que j'ai passé ici est

t.tips'

Parlons d'une autre situation qui conduit à l'injection. Après avoir légèrement modifié la méthode ci-dessus

def test_query(testUrl):
    mysql = Database()
    try:
        querySql = ("SELECT * FROM `article` WHERE url='%s'" % testUrl)
        chanels = mysql.query(querySql)
        return chanels
    except Exception, e:
        print e

Cette méthode n'utilise pas directement l'épissage de chaînes, mais utilise %s à la place. de transmission Les paramètres ressemblent-ils beaucoup à du SQL précompilé ? Cette façon d’écrire peut-elle empêcher l’injection SQL ? Vous le saurez après l'avoir testé. La réponse est la suivante

(1064, "Vous avez une erreur dans votre syntaxe SQL ; consultez le manuel qui correspond à la version de votre serveur MariaDB pour connaître la bonne syntaxe à utiliser près de''). t.tips' '' à la ligne 1")

Les résultats sont les mêmes que le test ci-dessus, donc cette méthode n'est pas possible, et cette méthode n'est pas une instruction SQL précompilée, alors que peut-on faire pour éviter injection SQL ?

Solution

Deux solutions

1> Encodage et échappement des paramètres entrants

2> Utilisez la méthode fournie avec le module MySQLdb de Python

La première solution se trouve en fait dans de nombreuses méthodes d'anti-injection PHP.

La deuxième option consiste à utiliser des méthodes internes, similaires à

PDO en PHP. Ici, vous pouvez simplement modifier la classe de base de données ci-dessus.

Code modifié

class Database:
    hostname = '127.0.0.1'
    user = 'root'
    password = 'root'
    db = 'pythontab'
    charset = 'utf8'
    def init(self):
        self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset)
        self.cursor = self.connection.cursor()
    def insert(self, query, params):
        try:
            self.cursor.execute(query, params)
            self.connection.commit()
        except Exception, e:
            print e
            self.connection.rollback()
    def query(self, query, params):
        cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
        cursor.execute(query, params)
        return cursor.fetchall()
    def del(self):
        self.connection.close()

Ici, exécutez des passes dans deux paramètres lors de l'exécution. Le premier est l'instruction SQL paramétrée. La seconde est la correspondante. valeur réelle du paramètre. La fonction

traitera la valeur du paramètre entrant en conséquence pour empêcher l'injection SQL. La méthode réelle utilisée est la suivante

preUp

. dateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"

mysql.insert(preUpdateSql , [titre, date, contenu, aide])

Cela peut empêcher l'injection SQL. Après avoir transmis une liste, le module MySQLdb sérialisera en interne la liste dans un tuple, puis effectuera une opération d'échappement.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!