1. SQL 注入
SQL 注入是非常常見的一種網(wǎng)絡(luò)攻擊方式�,主要是通過參數(shù)來讓 mysql 執(zhí)行 sql 語句時(shí)進(jìn)行預(yù)期之外的操作。
即:因?yàn)閭魅氲膮?shù)改變SQL的語義��,變成了其他命令�,從而操作了數(shù)據(jù)庫。
產(chǎn)生原因:SQL語句使用了動(dòng)態(tài)拼接的方式����。
例如,下面這段代碼通過獲取用戶信息來校驗(yàn)用戶權(quán)限:
import pymysql
sql = 'SELECT count(*) as count FROM user WHERE id = ' + str(input['id']) + ' AND password = "' + input['password'] + '"'
cursor = dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
print('登陸成功')
但是,如果傳入?yún)?shù)是:
你會(huì)發(fā)現(xiàn)���,用戶能夠直接登錄到系統(tǒng)中��,因?yàn)樵?sql 語句的判斷條件被 or 短路成為了永遠(yuǎn)正確的語句��。
這里僅僅是舉一個(gè)例子��,事實(shí)上�,sql 注入的方式還有很多種����,這里不深入介紹了。
總之�����,只要是通過用戶輸入數(shù)據(jù)來拼接 sql 語句��,就必須在第一時(shí)間考慮如何避免 SQL 注入問題�����。
那么���,如何防止 SQL 注入呢��?
2. 預(yù)防 SQL 注入 – pymysql 參數(shù)化語句
pymysql 的 execute 支持參數(shù)化 sql��,通過占位符 %s 配合參數(shù)就可以實(shí)現(xiàn) sql 注入問題的避免��。
import pymysql
sql = 'SELECT count(*) as count FROM user WHERE id = %s AND password = %s'
valus = [input['id'], input['password']]
cursor = dbclient.cursor(pymysql.cursors.DictCursor)
cursor.execute(sql, values)
count = cursor.fetchone()
if count is not None and count['count'] > 0:
print('登陸成功')
這樣參數(shù)化的方式���,讓 mysql 通過預(yù)處理的方式避免了 sql 注入的存在����。
需要注意的是��,不要因?yàn)閰?shù)是其他類型而換掉 %s��,pymysql 的占位符并不是 python 的通用占位符�。
同時(shí),也不要因?yàn)閰?shù)是 string 就在 %s 兩邊加引號(hào)��,mysql 會(huì)自動(dòng)去處理�����。
3. 預(yù)防 SQL 注入 – mysql 存儲(chǔ)過程
數(shù)據(jù)庫存儲(chǔ)過程是 mysql 的一種高級(jí)用法��,但是一般來說�����,并不建議使用數(shù)據(jù)庫的存儲(chǔ)過程�����。
主要原因是:
- 存儲(chǔ)過程的語法與普通 SQL 語句語法相差太大����,增加維護(hù)成本
- 存儲(chǔ)過程在各數(shù)據(jù)庫間不通用且差別較大,給數(shù)據(jù)庫的移植和擴(kuò)展帶來困難
- 編寫困難��,數(shù)據(jù)庫腳本語言使用起來還是很不方便的�����,包括很多數(shù)據(jù)結(jié)構(gòu)的缺失�,讓很多事情做起來很困難
- 調(diào)試?yán)щy,雖然有一些功能強(qiáng)大的 IDE 提供了數(shù)據(jù)庫存儲(chǔ)過程的調(diào)試功能��,但是通常你需要同時(shí)在數(shù)據(jù)庫層面上和業(yè)務(wù)中同時(shí)進(jìn)行調(diào)試�����,兩處調(diào)試極為不便
- 業(yè)務(wù)耦合,編寫存儲(chǔ)過程通常是需要在其中放入部分業(yè)務(wù)邏輯�����,這使得業(yè)務(wù)分散在數(shù)據(jù)層��,業(yè)務(wù)層與數(shù)據(jù)層的耦合對(duì)于項(xiàng)目維護(hù)和擴(kuò)展都會(huì)帶來極大地不便����。
但是,雖然不建議使用存儲(chǔ)過程�����,但是畢竟可以依賴他實(shí)現(xiàn)各種跨語言的 sql 注入預(yù)防����,在復(fù)雜的場(chǎng)景下還是有其使用價(jià)值的。(以后需要用再去詳細(xì)學(xué)�,這里只作簡(jiǎn)單介紹)
3.1. 存儲(chǔ)過程編寫
delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql (
in nid1 INT,
in nid2 INT,
in callsql VARCHAR(255)
)
BEGIN
set @nid1 = nid1;
set @nid2 = nid2;
set @callsql = callsql;
PREPARE myprod FROM @callsql;
-- PREPARE prod FROM 'select * from tb2 where nid>? and nid?'; 傳入的值為字符串,�?為占位符
-- 用@p1,和@p2填充占位符
EXECUTE myprod USING @nid1,@nid2;
DEALLOCATE prepare myprod;
END\delimiter ;
3.2. pymsql 中調(diào)用
import pymysql
cursor = conn.cursor()
mysql="SELECT * FROM user where nid > ? and nid ?"
cursor.callproc('proc_sql', args=(11, 15, mysql))
rows = cursor.fetchall()
conn.commit()
總結(jié)
以上就是這篇文章的全部?jī)?nèi)容了�,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值����,如果有疑問大家可以留言交流�����,謝謝大家對(duì)腳本之家的支持�����。
您可能感興趣的文章:- MySQL中無過濾條件的count詳解
- MySQL中int最大值深入講解
- Mysql主鍵和唯一鍵的區(qū)別點(diǎn)總結(jié)
- 實(shí)例講解MySQL中樂觀鎖和悲觀鎖
- MySQL limit性能分析與優(yōu)化
- MySQL和Redis實(shí)現(xiàn)二級(jí)緩存的方法詳解
- Docker創(chuàng)建MySQL的講解
- PHP date()格式MySQL中插入datetime方法
- mysql導(dǎo)出表的字段和相關(guān)屬性的步驟方法
- MySQL主從延遲現(xiàn)象及原理分析詳解
