SQL注入(execute()之下)

最新推荐文章于 2025-06-19 20:28:08 发布
最新推荐文章于 2025-06-19 20:28:08 发布
阅读量4.8k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Bobdragery/article/details/90273880
使用pymysql模块操作验证注册登陆时,字符串拼接易导致SQL注入问题,用户可绕开账户密码进入数据库。如利用mysql注释语法 '--' 可绕过密码或用户与密码验证。解决办法是让execute做字符串拼接,按pymysql规矩操作,去掉%s引号。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在用pymysql模块操作验证注册登陆的时候,涉及字符串拼接时容易出现明明账户密码不对的情况sql语句还是可以被执行,这样就导致用户可以绕开账户密码就能进入数据库。废话不说,看图:
在这里插入图片描述
sql代码为:

user = input('账户:').strip()
    pwd = input('密码:').strip()
    sql = 'select * from register where name = "%s" and pwd ="%s"' %(user,pwd)
    res = cursor.execute(sql)
    if res == 1:
     	print('登陆成功')
     	print(cursor.fetchall())
 	else:
     	print('登陆失败')

换另一种‘错误’的账号看结果:
在这里插入图片描述
上面’账户‘至少mcc还是正确的,再来一个’完全不沾边‘的账户
在这里插入图片描述
原因是什么呢?

根本原因在于mysql的注释语法 – ,上面的两张图显示了两种sql注入情况,第一种是用户存在,绕过密码,第二种情况用户不存在,绕过用户与密码

看一下第一种情况的sql语句:

select * from register where name = "mcc" -- sdadadf" and pwd =""

数据库中,-- 后的所有内容都被注释掉,即使再输入密码也是没用的,最后的sql语句是select * from register where name = “mcc”,这句sql语句可以被正确执行,也能查出mcc的结果

select * from register where name = "xxx" or 1=1 -- saddjna" and pwd =""

在数据库中,-- 后面的条件全部被注释掉,where 的过滤条件就剩name=“xxx” or 1=1,1=1显然永远成立,where的最终过滤条件就是True,sql执行的就是select * from register 。

解决方法
原来是我们对sql进行字符串拼接
sql=‘select * from register where name="%s" and password="%s"’ %(user,pwd)

res=cursor.execute(sql)

#改写为(execute帮我们做字符串拼接,我们无需且一定不能再为%s加引号了)

sql="select * from register where name=%s and password=%s"

#!!!注意%s需要去掉引号,因为pymysql会自动为我们加上
res=cursor.execute(sql,[user,pwd]) #pymysql模块自动帮我们解决sql注入的问题,只要我们按照pymysql的规矩来。

SQL注入技术详解与过滤绕过方法
Cyc1e的博客
11-07 2069
SQL注入攻击是严重的安全威胁,可能导致数据库数据泄露或篡改。使用参数化查询或ORM框架,避免直接拼接SQL语句。对用户输入进行严格过滤和验证,限制输入的格式和范围。定期更新依赖库,修复已知的安全漏洞。然而,攻击者可能通过编码、注释、拆分关键字等方式绕过简单的防护机制。因此,开发者应使用多层次的防御方法,并定期对应用进行安全测试。
PDO预编译与sql注入
qq_64395221的博客
06-20 1492
刚学web安全的时候学到sql注入防御,那些文章基本上都会说利用pdo预编译就可以近乎完美防御sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美防御sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以防止sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
判断executesql)执行成功与否
10-24
判断executesql)执行成功与否,帮助更好的控制代码操作性
SQL Execute语法.
weixin_30765475的博客
07-27 1849
一,执行字符串: EXECUTE语句可以执行存放SQL语句的字符串变量,或直接执行SQL语句字符串。语法:EXECUTE({@字符串变量|[N]’SQL语句字符串’}[+...n])例子:Declare @SQLText Varchar(50) Set @SQLText=’ where sdept=’’计算机系’’’ Execute(‘Select * from Student’+@SQL...
【Dify 沙箱网络问题排查与解决】
weixin_44591656的博客
06-19 1707
在使用 Dify 的代码执行沙箱功能时,通过 rookie_text2data 插件生成 SQL 语句,并调用 rookie_execute_sql 执行数据库查询。
ExecuteSQL
酷酷的诚的博客
02-15 1万+
描述: 该处理器执行SQL语句,返回avro格式数据。处理器使用流式处理,因此支持任意大的结果集。处理器可以使用标准调度方法将此处理器调度为在计时器或cron表达式上运行,也可以由传入的流文件触发。SQL语句来源可以来自该处理器属性SQL select query,也可以来自上一个处理器的输出流(UTF-8格式)(GenerateTableFetch,ConvertJsonToSq...
动态创建命令语句
hxd001_810专栏
12-06 1957
一般来说,我们会在程序运行期间将所要运行的命令语句组合成一个字符串,然后使用EXECUTE命令或系统存储过程sp_executesql来运行。今天,我们将来详细探讨这两种方法各自的优劣点。() 使用EXECUTE命令运行命令字符串要使用EXECUTE命令来运行一个命令字符串的语法如下:EXEC[UTE] ({@string_variable|[N] stql_string} [+...n
sql中的execute与sp_executesql
weixin_44255799的博客
12-04 835
execute相信大家都用的用熟了,简写为exec,除了用来执行存储过程,一般都用来执行动态Sql sp_executesqlsql2005中引入的新的系统存储过程,也是用来处理动态sql的,如: exec sp_executesql @sql, N'@count int out,@id varchar(20)', @cou out ,@id @sql为拼成的动态sql N'@count int out,@id varchar(20)'为拼成的动态sql内的参数列表--N' '表示将N后单引号里的字符转换
信息安全_安全编码之SQL注入.pptx
08-14
在网络安全领域,SQL注入是一种常见的攻击手段,对数据库的安全构成重大威胁。本节将深入探讨SQL注入的原理、防范方法,以及如何通过安全编码实践来防止这类漏洞的发生。首先,让我们了解一下SQL注入的基础知识。 ...
sql注入面试题
m0_52484587的博客
07-08 972
宽字节注入主要利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字,当php中addslash和magic_quotes_gpc开启时,会对单引号(0x27)进行转义,形成’的形式,\的16进制编码是0x5c,当使用GBK编码时,0x5c前如果出现类似0xdf之类的字符,就会结合形成一个汉字,结果就是0xdf5c27,而0xdf5c会结合成一个汉字,后面的引号(27)自然就再次生效(转义失效,被df吃掉了),这就是宽字节注入的原理。\6. 规范编码,字符集。
PHP如何防止SQL注入攻击?
破损的天堂鸟博客
07-19 1309
无论是Laravel还是cakePHP,它们都通过引入ORM框架、使用参数化查询、预处理语句以及严格的输入验证和过滤等手段,有效地防止了SQL注入攻击。这些方法不仅简化了数据库操作,还提高了系统的安全性。
第二章 SQL命令参考-EXECUTE
kygoal的博客
10-26 562
EXECUTE Executesa prepared SQL statement. 概要 EXECUTE name [(parameter [,...])] 描述 EXECUTE用于执行_个事先准备好的声明。因为准备的语句仅存在会话的持续时间,必须是由在当前会话中较早执行的PREPARE语句创建的准备好的语句。 如果创建该语句的PREPARE语句中指定的_些参数,_组兼容的参数都必须传
execute(sql)三种执行方法的返回值表示的含义
热门推荐
suwu150
10-06 5万+
三种执行方法的返回值分别是什么含义:execute(sql)     (1). ResultSet executeQuery(String sql); 执行SQL查询,并返回ResultSet 对象。     (2). int executeUpdate(String sql); 可执行增,删,改,返回执行受到影响的行数。     (3). boolean execute(String s
13.4.2 使用execute方法执行SQL语句
测试
07-04 3133
13.4.2 使用execute方法执行SQL语句document.querySelector(".post-body > ul").style.display="none"13.4.2 使用execute方法执行SQL语句Statement的execute()方法几乎可以执行任何SQL语句,但它执行SQL语句时比较麻烦,通常没有必要使用execute()方法来执行SQL语句,使用executeQ...
3.2 Execute SQL 任务
Johnson的专栏
11-19 1004
3.Execute SQL 任务Execute SQL任务可以执行一个或多个SQL语句或存储过程。在SSIS中对该任务进行了很大的改进,使得它能够允许用户执行文件中的脚本。这次我们主要是在General页面中进行配置(如图3-1所示)。Timeout选项指定了任务的超时秒数。该值为0意味着该任务可以不限时运行。ResultSet选项设置了查询结果的输出格式。在默认情况下,若将选项设置
pymysql的使用及sql注入
weixin_34133829的博客
04-06 495
pymysql简介 pymysql是python操纵mysql的一个模块,本质上是一个socket客户端 pymysql使用 准备数据 #创建数据库db2,如果已存在,请忽略 CREATE DATABASE db2 DEFAULT CHARACTER SET utf8; #创建用户表 CREATE TABLE `userinfo` ( `id` int(10) unsigned NOT NU...
ODBC SQLExecute SQLPrepare
程序员码工的专栏
06-05 5073
#include #include #include #include #include #include #include void CheckReturnCode(SQLRETURN rc, SQLHENV henv,SQLHDBC hdbc, SQLHSTMT hstmt,char* msg, char *filename, int lineno);v
ExecuteSQL函数 和 call 调用
刘慧斌 廊坊师范学院信息技术提高班十三期
09-04 6705
对于现阶段来说,我们用得最多的就是SQL语句,那么对于ExecuteSQL函数应该就不会很陌生了吧。 ExecuteSQL他是一种自定义函数,是ODBC中的一个API函数,用来执行由SQLPrepare创建的SQL语句。一般只要是查询数据表就会用到这个函数,他后面一般还加两个参数TXTSQL和MsgText。今天我们就来看看这三个单词在数据库语言中的作用。 ExecuteSQL出现的时候一定是
tp5 原生SQL: 写操作(execute方法)
php菜鸟技术天地
12-07 1万+
一、TP5原生写操作是通过Query类的execute()方法来实现 学习之前,先简单回顾了写操作常识: 数据表操作包括(增加、删除、修改、查询),即大家常说的:增删改,英文缩写:CURD。 操作语句主要有4个,他们的语法和说明: 序号 名称 关键字 语法 举例 1 新增 INSERT INSERT 表名 (字段列表) VALUES (值列表) ...
头歌SQL注入之 headers 注入
最新发布
06-27
### SQL 注入攻击在 HTTP Headers 中的表现及防范方法 SQL 注入SQL Injection)是一种常见的安全漏洞,攻击者通过向应用程序的输入字段注入恶意 SQL 代码来操纵数据库。虽然大多数 SQL 注入攻击发生在 URL 参数或表单提交中,但 HTTP Headers 同样可能成为攻击媒介。例如,攻击者可以利用 `User-Agent`、`Referer` 或自定义头部(如 `X-Requested-With`)注入恶意 SQL 语句。 #### 攻击方式 1. **HTTP Header 注入示例** 假设某个 Web 应用程序将 `User-Agent` 头部直接拼接到 SQL 查询中,例如记录访问者的浏览器信息: ```sql INSERT INTO user_agents (user_agent) VALUES ('" + request.headers['User-Agent'] + "'); ``` 如果攻击者修改 `User-Agent` 的值为 `' OR '1'='1`, 则可能导致 SQL 查询被篡改,从而引发数据泄露或其他恶意行为 [^1]。 2. **联合查询注入** 攻击者可以在 HTTP Headers 中注入额外的 SQL 子句,例如: ```http User-Agent: Mozilla/5.0 ' UNION SELECT username, password FROM users -- ``` 这种方式可能导致数据库返回敏感信息 [^1]。 3. **盲注(Blind SQL Injection)** 在某些情况下,攻击者无法直接看到数据库错误信息,但可以通过时间延迟或布尔逻辑判断数据库结构,例如: ```http User-Agent: Mozilla/5.0 ' AND IF(1=1, SLEEP(5), 0) -- ``` 通过观察响应延迟,攻击者可推测后端数据库逻辑 [^1]。 #### 防范方法 1. **使用参数化查询(Prepared Statements)** 最有效的防范措施是避免直接拼接 SQL 查询字符串。应使用参数化查询来确保用户输入不会被解释为 SQL 命令。例如在 Python 中使用 `cursor.execute()`: ```python cursor.execute("INSERT INTO user_agents (user_agent) VALUES (%s)", (user_agent,)) ``` 2. **输入验证与过滤** 对所有来自 HTTP Headers 的输入进行白名单验证,确保其格式符合预期。例如限制 `User-Agent` 字符集,拒绝包含特殊 SQL 关键字(如 `UNION`, `SELECT`, `DROP`)的内容 [^1]。 3. **最小权限原则** 数据库账户应仅具有执行必要操作的最小权限。例如,用于插入日志的账户不应具备读取用户密码的权限 [^1]。 4. **错误信息处理** 不应将详细的数据库错误信息暴露给客户端。应在服务器端记录错误,并向用户返回通用错误提示,以防止攻击者利用错误反馈进行探测 [^1]。 5. **使用 Web Application Firewall(WAF)** 部署 WAF 可以检测并拦截常见的 SQL 注入模式,例如检测到 `UNION SELECT` 或 `SLEEP()` 等关键字时阻止请求 [^1]。 6. **定期更新依赖库和框架** 使用成熟的 Web 框架(如 Flask、Django)并保持其更新,因为这些框架通常内置了对常见攻击的防护机制 [^2]。 7. **日志审计与监控** 记录所有异常请求,特别是涉及敏感操作的日志。设置警报机制,当检测到可疑 SQL 模式时及时通知管理员 。 ### 示例:Flask 中的安全防护 在 Flask 中,可以结合 SQLAlchemy 实现参数化查询,同时使用 `Werkzeug` 提供的转义函数来处理输入: ```python from flask import Flask, request from flask_sqlalchemy import SQLAlchemy app = Flask(__name__) db = SQLAlchemy(app) @app.route('/') def index(): user_agent = request.headers.get('User-Agent') # 安全地插入用户代理信息 db.session.execute("INSERT INTO user_agents (user_agent) VALUES (:ua)", {'ua': user_agent}) db.session.commit() return "Logged" ``` ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值