Python 에서 sql 주입 을 방지 하 는 방법 에 대한 상세 한 설명
현재 웹 구멍 의 첫 번 째 는 sql 입 니 다.어떤 언어 로 웹 백 엔 드 개발 을 하 든 관계 형 데이터 베 이 스 를 사용 하면 sql 주입 공격 문 제 를 만 날 수 있 습 니 다.그렇다면 Python 웹 개발 과정 에서 sql 주입 은 어떻게 발생 했 습 니까?이 문 제 를 어떻게 해결 하 였 습 니까?
물론,나 는 다른 언어 가 sql 주입 을 어떻게 피 하 는 지 에 대해 토론 하고 싶 지 않다.ǘ파 이 썬 을 추가 하 는 방법 은 사실 유사 하 다.여기 서 나 는 예 를 들 어 말 하 겠 다.
원인
구멍 이 생 긴 원인 중 가장 흔히 볼 수 있 는 것 은 문자열 연결 입 니 다.물론 sql 주입 은 하나의 상황 만 이 아니 라 넓 은 바이트 주입,특수 문자 전의 등 여러 가지 가 있 습 니 다.여기 서 가장 흔히 볼 수 있 는 문자열 연결 을 말 하 는 것 도 초급 프로그래머 가 가장 쉽게 범 하 는 오류 입 니 다.
우선 my sql 작업 을 처리 할 클래스 를 정의 합 니 다.
class Database:
aurl = '127.0.0.1'
user = 'root'
password = 'root'
db = 'testdb'
charset = 'utf8'
def __init__(self):
self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset)
self.cursor = self.connection.cursor()
def insert(self, query):
try:
self.cursor.execute(query)
self.connection.commit()
except Exception, e:
print e
self.connection.rollback()
def query(self, query):
cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
cursor.execute(query)
return cursor.fetchall()
def __del__(self):
self.connection.close()정 답 은 있다!
이 종 류 는 결함 이 있어 서 sql 주입 을 쉽게 만 들 수 있 습 니 다.다음은 왜 sql 주입 이 생 겼 는 지 말씀 드 리 겠 습 니 다.
문제 의 진실성 을 검증 하기 위해 서 는 위의 그 종류의 방법 을 사용 하 는 방법 을 쓰 고 오류 가 발생 하면 바로 이상 을 던 집 니 다.
def test_query(articleurl):
mysql = Database()
try:
querySql = "SELECT * FROM `article` WHERE url='" + articleurl + "'"
chanels = mysql.query(querySql)
return chanels
except Exception, e:
print e
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
t.tips'
def test_query(articleurl):
mysql = Database()
try:
querySql = ("SELECT * FROM `article` WHERE url='%s'" % articleurl)
chanels = mysql.query(querySql)
return chanels
except Exception, e:
print e
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")해결 하 다.
두 가지 방안
1>들 어 오 는 매개 변 수 를 인 코딩 하여 의 미 를 바 꿉 니 다.
2>Python 의 MySQLdb 모듈 을 사용 하여 자체 적 으로 가 져 오 는 방법
첫 번 째 방안 은 사실 많은 PHP 의 주입 방지 방법 에 특수 문 자 를 전의 하거나 여과 하 는 것 이 있다.
두 번 째 방안 은 내부 방법 을 사용 하 는 것 입 니 다.PHP 에 있 는 PDO 와 유사 합 니 다.여기 서 위의 데이터 베이스 류 를 간단하게 수정 하면 됩 니 다.
수 정 된 코드
class Database:
aurl = '127.0.0.1'
user = 'root'
password = 'root'
db = 'testdb'
charset = 'utf8'
def __init__(self):
self.connection = MySQLdb.connect(self.aurl, self.user, self.password, self.db, charset=self.charset)
self.cursor = self.connection.cursor()
def insert(self, query, params):
try:
self.cursor.execute(query, params)
self.connection.commit()
except Exception, e:
print e
self.connection.rollback()
def query(self, query, params):
cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
cursor.execute(query, params)
return cursor.fetchall()
def __del__(self):
self.connection.close()
preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"
mysql.insert(preUpdateSql, [title, date, content, aid])총결산
제 가 예전 에 스 크 립 트 에서 sql 주입 구멍 이 있 는 코드 를 사 용 했 습 니 다.자,이상 은 이 글 의 모든 내용 입 니 다.본 고의 내용 이 여러분 의 학습 이나 업무 에 어느 정도 도움 이 되 기 를 바 랍 니 다.궁금 한 점 이 있 으 면 댓 글 을 남 겨 주 십시오.
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
로마 숫자를 정수로 또는 그 반대로 변환그 중 하나는 로마 숫자를 정수로 변환하는 함수를 만드는 것이었고 두 번째는 그 반대를 수행하는 함수를 만드는 것이었습니다. 문자만 포함합니다'I', 'V', 'X', 'L', 'C', 'D', 'M' ; 문자열이 ...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.
좋은 웹페이지 즐겨찾기
