Maison >développement back-end >Tutoriel Python >Comment empêcher l'injection SQL à l'aide de Python
La vulnérabilité Web numéro un n'est autre que SQL. Quel que soit le langage utilisé pour le développement back-end Web, tant qu'une base de données relationnelle est utilisée, SQL. des attaques par injection peuvent être rencontrées. Alors, comment l'injection SQL apparaît-elle lors du processus de développement web Python, et comment résoudre ce problème ?
Bien sûr, je ne veux pas discuter de la façon dont d'autres langages évitent l'injection SQL. Il existe différentes méthodes pour empêcher l'injection dans PHP sur Internet. en fait similaire, ici Laissez-moi vous donner un exemple.
La cause la plus courante de la vulnérabilité est l'épissage de chaîne Bien sûr, l'injection SQL n'est pas seulement l'épissage, il y a aussi des choses comme les octets larges. Il y en a beaucoup. types d'injection, caractères spéciaux échappement, etc. Nous parlerons ici de l'épissage de chaînes le plus courant, qui est également l'erreur la plus courante pour les programmeurs débutants.
Nous définissons d'abord une classe pour gérer le fonctionnement de mysql
class Database: hostname = '127.0.0.1' user = 'root' password = 'root' db = 'pythontab' charset = 'utf8' def init(self): self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset) self.cursor = self.connection.cursor() def insert(self, query): try: self.cursor.execute(query) self.connection.commit() except Exception, e: print e self.connection.rollback() def query(self, query): cursor = self.connection.cursor(MySQLdb.cursors.DictCursor) cursor.execute(query) return cursor.fetchall() def del(self): self.connection.close()
Y a-t-il un problème avec cette classe ?
La réponse est : Oui !
Cette classe est défectueuse et peut facilement provoquer une injection SQL. Parlons de la raison pour laquelle l'injection SQL se produit.
Afin de vérifier l'authenticité du problème, voici une méthode pour appeler la méthode de la classe ci-dessus. Si une erreur se produit, une exception sera levée directement <.>.
def test_query(testUrl): mysql = Database() try: querySql = "SELECT * FROM `article` WHERE url='" + testUrl + "'" chanels = mysql.query(querySql) return chanels except Exception, e: print eCette méthode est très simple. L'une des instructions select
pour le right syntaxe à utiliser près de ''t.tips''' à la ligne 1")
affiche une erreur, une erreur très familière. Le paramètre de test que j'ai passé ici est t.tips'Parlons d'une autre situation qui conduit à l'injection. Après avoir légèrement modifié la méthode ci-dessus
def test_query(testUrl): mysql = Database() try: querySql = ("SELECT * FROM `article` WHERE url='%s'" % testUrl) chanels = mysql.query(querySql) return chanels except Exception, e: print eCette méthode n'utilise pas directement l'épissage de chaînes, mais utilise %s à la place. de transmission Les paramètres ressemblent-ils beaucoup à du SQL précompilé ? Cette façon d’écrire peut-elle empêcher l’injection SQL ? Vous le saurez après l'avoir testé. La réponse est la suivante (1064, "Vous avez une erreur dans votre syntaxe SQL ; consultez le manuel qui correspond à la version de votre serveur MariaDB pour connaître la bonne syntaxe à utiliser près de''). t.tips' '' à la ligne 1")Les résultats sont les mêmes que le test ci-dessus, donc cette méthode n'est pas possible, et cette méthode n'est pas une instruction SQL précompilée, alors que peut-on faire pour éviter injection SQL ? SolutionDeux solutions
PDO en PHP. Ici, vous pouvez simplement modifier la classe de base de données ci-dessus.
class Database: hostname = '127.0.0.1' user = 'root' password = 'root' db = 'pythontab' charset = 'utf8' def init(self): self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset) self.cursor = self.connection.cursor() def insert(self, query, params): try: self.cursor.execute(query, params) self.connection.commit() except Exception, e: print e self.connection.rollback() def query(self, query, params): cursor = self.connection.cursor(MySQLdb.cursors.DictCursor) cursor.execute(query, params) return cursor.fetchall() def del(self): self.connection.close()Ici, exécutez des passes dans deux paramètres lors de l'exécution. Le premier est l'instruction SQL paramétrée. La seconde est la correspondante. valeur réelle du paramètre. La fonction
. dateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"
mysql.insert(preUpdateSql , [titre, date, contenu, aide])Cela peut empêcher l'injection SQL. Après avoir transmis une liste, le module MySQLdb sérialisera en interne la liste dans un tuple, puis effectuera une opération d'échappement.Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!