Python에서 SQL 삽입을 방지하는 방법
- 高洛峰원래의
- 2017-02-28 09:21:341134검색
머리말
관계형 언어라면 웹 백엔드 개발에 어떤 언어를 사용하든 관계없이 이제 웹 취약점 1위는 SQL이라는 점을 모두가 알아야 합니다. 데이터베이스를 사용하는 경우 SQL 주입 공격 문제가 발생할 수 있습니다. 그렇다면 Python 웹 개발 중에 SQL 주입은 어떻게 나타나고, 이 문제를 해결하는 방법은 무엇일까요?
물론, PHP에서 인젝션을 방지하는 방법은 여러 가지가 있지만 다른 언어에서는 어떻게 하는지 논의하고 싶지는 않습니다. (블로거의 메모: 세상에서 가장 멋진 언어라고 합니다. ) Python을 포함하여 인터넷에서 방법은 실제로 유사하므로 여기서는 예를 들어 보겠습니다.
원인
스트링 스플라이싱(string splicing)은 물론, 단순히 스플라이싱(splicing)만 하는 경우는 아닙니다. 와이드 바이트 주입, 특수 문자 이스케이프 등과 같은 유형도 많습니다. 여기서는 주니어 프로그래머에게 가장 흔한 실수이기도 한 가장 일반적인 문자열 접합에 대해 이야기하겠습니다.
먼저 mysql 작업을 처리하는 클래스를 정의합니다.
class Database: aurl = '127.0.0.1' user = 'root' password = 'root' db = 'testdb' charset = 'utf8' def __init__(self): self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset) self.cursor = self.connection.cursor() def insert(self, query): try: self.cursor.execute(query) self.connection.commit() except Exception, e: print e self.connection.rollback() def query(self, query): cursor = self.connection.cursor(MySQLdb.cursors.DictCursor) cursor.execute(query) return cursor.fetchall() def __del__(self): self.connection.close()
이 코드는 Python과 관련된 이전 스크립트에서 많이 사용되었습니다. mysql 데이터베이스를 운영하는 모든 스크립트를 이 클래스에 작성했는데 이 클래스에 문제가 있는 걸까요?
답은: 그렇습니다!
이 클래스는 결함이 있어 SQL 인젝션이 쉽게 발생하는 이유에 대해 이야기해보겠습니다.
문제의 진위 여부를 확인하려면 여기에 위 클래스의 메서드를 호출하는 메서드를 작성하세요. 오류가 발생하면 바로 예외가 발생합니다.
def test_query(articleurl): mysql = Database() try: querySql = "SELECT * FROM `article` WHERE url='" + articleurl + "'" chanels = mysql.query(querySql) return chanels except Exception, e: print e
이 방법은 매우 간단합니다. 가장 일반적인 선택 쿼리 문 중 하나는 가장 간단한 문자열 연결을 사용하여 SQL 문을 형성한다는 것입니다. 들어오는 매개변수 articleurl은 제어 가능합니다. 주입 테스트를 수행하려면 Articleurl 값 뒤에 작은따옴표만 추가하면 SQL 주입 테스트를 수행할 수 있습니다. 스크립트를 작성하고 결과가 무엇인지 확인하세요.
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
여기에 전달한 테스트 매개변수는 매우 친숙한 오류입니다. 🎜>
t.tips'
위 방법을 살짝 수정한 후, 주입으로 이어지는 또 다른 상황에 대해 이야기해보자.
def test_query(articleurl):
mysql = Database()
try:
querySql = ("SELECT * FROM `article` WHERE url='%s'" % articleurl)
chanels = mysql.query(querySql)
return chanels
except Exception, e:
print e
이 방법에는 직접적인 방법이 없습니다. 전달될 매개변수를 대체하기 위해 %s를 사용하는 대신 문자열 연결을 사용하면 미리 컴파일된 SQL과 매우 유사합니까? 이런 방식으로 작성하면 SQL 삽입을 막을 수 있나요? 테스트해 보면 다음과 같은 응답을 알 수 있습니다.
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
는 위의 테스트 결과와 동일하므로 이 방법은 아닙니다. 가능하며, 이 방법은 동작하지 않습니다. 미리 컴파일된 sql 문이 아닌데 sql 주입을 방지하려면 어떻게 해야 합니까?
해결 방법
1> 입력 매개변수
2> Python의 MySQLdb 모듈과 함께 제공되는 방법을 사용하십시오.
첫 번째 솔루션은 실제로 많은 PHP 주입 방지 방법에서 발견되며 특수 문자에 대한 특수 문자 조작을 수행합니다. 또는 필터.
두 번째 옵션은 PHP의 PDO와 유사한 내부 메서드를 사용하는 것입니다. 여기서는 위의 데이터베이스 클래스를 간단히 수정할 수 있습니다.
수정된 코드
class Database: aurl = '127.0.0.1' user = 'root' password = 'root' db = 'testdb' charset = 'utf8' def __init__(self): self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset) self.cursor = self.connection.cursor() def insert(self, query, params): try: self.cursor.execute(query, params) self.connection.commit() except Exception, e: print e self.connection.rollback() def query(self, query, params): cursor = self.connection.cursor(MySQLdb.cursors.DictCursor) cursor.execute(query, params) return cursor.fetchall() def __del__(self): self.connection.close()
여기서 실행을 실행하면 두 개의 매개변수가 전달됩니다. 첫 번째는 매개변수화된 SQL 문입니다. 하나는 해당 실제 매개변수 값입니다. SQL 주입을 방지하기 위해 전달된 매개변수 값은 함수 내부에서 그에 따라 처리됩니다. 실제 사용되는 방법은 다음과 같습니다.
preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s" mysql.insert(preUpdateSql, [title, date, content, aid])
이는 SQL 주입을 방지할 수 있습니다. 목록을 전달한 후 MySQLdb 모듈은 내부적으로 목록을 튜플로 직렬화한 다음 이스케이프 작업을 수행합니다.
Python에서 SQL 주입을 방지하는 방법에 대한 더 많은 관련 기사를 보려면 PHP 중국어 웹사이트를 주목하세요!