QT5 的QSqlDatabase 防止SQL注入

最新推荐文章于 2025-05-29 11:52:38 发布
原创 最新推荐文章于 2025-05-29 11:52:38 发布 · 1.5k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #mysql

本文介绍了如何在Python中使用PyQt5的QSqlQuery模块避免SQL注入问题,通过prepare()和bindValue()方法正确处理参数,确保代码安全。重点讲解了addBindValue()和bindValue()的用法以及它们在执行SQL查询时的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用拼接字符串方式构造SQL语句比较容易犯sql注入问题。

常见的防范方式是以参数传入的方式处理,(把参数通过数据库提供的接口传入数据库,在数据库里面处理,而不是在数据库外面拼接SQL语句)

python 中一般是在游标执行execute时传递参数

uid=123
pwd='bb987#$!~EE' 
args = (uid, pwd)
cur.execute('select * from user_table where uid = %s and pwd = %s', args )

注意:

对于传入的字符串类型的参数,在构造sql语句的模板上不需要加引号,mysql会自动转义及加引号的。

但对于string.format(参数值,参数值) 和 string % (参数值,参数值) 方式先把sql生成好再直接执行的方式,是需要手动加引号的。

uid=100
pwd='976$#@387'
cur.execute(“select * from user_table where uid = %s and pwd = %s”, (uid,pwd) )

# 上面这句pwd位置不需要加引号,sql模板和值之间是用逗号【分隔】。
# 下面这句pwd位置需要加引号,   sql模板和值之间是用百分号【连接】。

cur.execute(“select * from user_table where uid = %s and pwd = '%s'” % (uid,pwd) )

但QT5的QsqlQuery的exec函数不支持这种方式。提示:too many arguments

建议使用QSqlQuery.prepare  官方文档:QSqlQuery — Qt for Python

在PyQt中,prepare()可以保护你免受SQL注入攻击,当你的SQL语句含有不可信输入时,推荐使用prepare。

exec(QString query): 执行query查询语句。查询执行后,必须通过使用next()等函数,定位到一个有效的记录,才能读取数据库记录。
prepare(QString query): 准备SQL查询语句。适用于带参数的查询语句。查询代码中的参数可以用ODBC样式(问号)或Oracle样式(符号前面加冒号)来指定,但是它们不能混合在同一个查询中。
addBindValue(QVariant val[, QSql.ParamType paramType = QSql.In]):使用位置值绑定时,将值val添加到值列表中。 addBindValue( )调用的顺序决定了此值 绑定到prepare()函数参数中的哪个占位符。

可选参数paramType 默认值为QSql.In,表明是往数据库中写入数据;

QSql.Out为从数据库中读出数据;

QSql.InOut为往数据库中写入数据,但执行exec()后,会被读出的数据覆盖。

要绑定NULL值,请使用空QVariant;例如,如果要绑定字符串,请使用QVariant(QVariant::String)。

bindValue(int pos, const QVariant val, QSql.ParamType paramType = QSql.In):指定prepare()函数参数中的pos占位符的值为val。pos=0代表第一个占位符。

bindValue(placeholderval[, type=QSql.In])

传入参数值的方法有两个:addBindValue() 和 bindValue()  区别在于addBindValue()必须严格按照顺序传入,bindValue()可以不按顺序,因为通过pos参数 或 placeholder参数指定了传给谁。

# addBindValue(const QVariant val, QSql.ParamType paramType = QSql.In):调用的顺序决定了此值 绑定到prepare()函数参数中的哪个占位符。

     query.prepare ("insert into good values (null,?,?)")
     query.addBindValue ('Floppy')
     query.addBindValue (10)
     query.exec()


# bindValue(int pos, const QVariant val, QSql.ParamType paramType = QSql.In):指定prepare()函数参数中的pos占位符的值为val。pos=0代表第一个占位符。

     query.prepare ("insert into good values (null,?,?)")
     query.bindValue (0, 'Floppy')
     query.bindValue (1, 10)
     query.exec()

# bindValue(QString placehold, const QVariant val, QSql.ParamType paramType = QSql.In):指定prepare()函数参数中的placehold占位符的值为val。 

      query .prepare("insert into good values(null,  :name,  : count )")
      query.bindValue(":name",   'Floppy')
      query.bindValue(":count", 10)
      query.exec()

# exec():执行prepare()中的SQL语句。 如果执行成功,返回True; 否则,返回False。

 官方文档代码example:

query = QSqlQuery()
query.prepare("INSERT INTO person (id, forename, surname) "
              "VALUES (:id, :forename, :surname)")
query.bindValue(":id", 1001)
query.bindValue(":forename", "Bart")
query.bindValue(":surname", "Simpson")
query.exec_()

补充:

经测试,同一个QSqlQuery对象,重新执行prepare后,之前绑定的value就全部失效了。

但在不重新执行prepare情况下,重新绑定value,然后重新执行exec_(),会得到新的结果。

sql="select * from user_table where id=?"
myQuery =QSqlQuery()
myQuery.prepare(sql)
myQuery.addBindValue(100)
myQuery.exec_()

while myQuery.next():
    print(myQuery.value('user_name'))


# 没有重新prepare,直接重新addBindValue,再次执行exec_(),得到新结果
myQuery.addBindValue(102)
myQuery.exec_()

while myQuery.next():
    print(myQuery.value('user_name'))

QT开发】数据库连接管理QSqlDatabase类详解及实战应用
科技改变人类,技术成就未来
07-15 2121
QSqlDatabaseQt 提供的一个功能强大且灵活的数据库连接管理类,通过本篇文章的学习,你应该对 QSqlDatabase 有了全面的理解,能够在自己的项目中正确使用它。QSqlDatabase 在用户
Qt SQL模块之QSqlDatabase
热门推荐
mabiao0825的博客
04-14 1万+
QSqlDatabase类处理与数据库的连接,要使用这个类,头文件需要导入QSqlQueryModel库: Header: #include <QSqlDatabase> 在qmake.pro文件中加入SQL数据库支持: QT += sql 这个类提供了以下公共方法: QSqlDatabase(const QSqlDatabase &other) QSqlDatabase() QSqlDatabase & operator=(const QSqlDatabase &
sql注入防止SQL注入
qq_35285268的博客
06-12 543
header('content-type:text/html;charset=utf-8'); $dsn = "mysql:host=127.0.0.1;dbname=username"; $db = new PDO($dsn,'root',''); $username=shiyan; $pwd=000; //未设置预处理之前 $sel="select * from user whe
qt5连接MYSQL数据库,报错QSqlDatabase: QMYSQL driver not loaded QSqlDatabase: available drivers: QMYSQL
最新发布
m0_46207383的博客
05-29 335
【摘要】Qt5连接MySQL数据库时出现"QMYSQL driver not loaded"错误,虽然驱动显示可用但实际未加载。解决方案是检查项目中是否缺少MySQL依赖库libcrypto-3-x64.dll和libssl-3-x64.dll,将其从MySQL默认安装路径(如C:\Program Files\MySQL\MySQL Server 8.0\bin)复制到工程exe目录下即可解决该问题。这种错误通常是由于运行时缺少必要的动态链接库导致的。
pqsql注入
ThomasXiao2013的博客
09-27 197
数据库查询时经常会遇到根据传入的参数查询内容的情况,传入的参数有可能会带有恶意代码,比如or 1=1,这样where判断为true,就会返还所有的记录。为了解决这个问题,可以在参数外面包一层单引号,pgsql有扩展包pg-promise来解决,使用方式如下: import * as PostgresUtil from 'pg-promise' PostgresUtil.as.form...
关于一些简单的防止sql注入
谢先生的日记
05-08 286
我们防止sql注入有这个方法, 我们在识别sql注入的时候我们需要对数据进行一系列的处理,使我们的网站安全性更高,那我们就要防止sql注入 对字符串进行替换 public static string ReplaceSqlKey(string strRequest) { strRequest = strRequest.ToLower(); //s...
Qt SQLQSqlDatabase
友善啊,朋友的博客
08-26 7913
Qt SQLQSqlDatabase
QT创建并使用SQL数据库
旅行者的博客
01-14 1040
通过 QSqlDatabase 可以很方便地创建和管理 SQL 数据库。使用 QSqlQuery 执行 SQL 查询和插入数据。使用绑定参数来防止 SQL 注入攻击。根据项目的具体需求,可以选择 SQLite 或其他数据库引擎。
QT_SQL_querymodel.rar_Qt SQL Server_qt sql_qt 数据库_qt+sql_sql qt
09-14
QT SQLQt 框架中的一个重要组成部分,用于在 Qt 应用程序中与各种关系型数据库进行交互。Qt SQL 提供了一套丰富的 API,使得开发者可以方便地执行 SQL 查询、管理数据表、处理结果集等操作,而无需关心底层...
SQL.rar_Qt数据库_qt sql_qt 数据库_qt 数据库操作_qt数据库
09-23
7. **预编译语句**: 使用QSqlQuery的prepare()方法可以预编译SQL语句,提高性能,防止SQL注入攻击。 8. **数据库模型视图架构**: QtQTableView、QSqlTableModel等组件可以与数据库直接绑定,实现数据库数据的直观...
QSqlDatabase
09-11 1万+
QSqlDatabase 代表一个数据库连接,该类提供了访问数据库的接口,而该类的实例代表着一个数据库的连接   而这个连接通过支持的数据库驱动程序进行访问,或者, 你可以从QSqlDriver子类化数据库驱动程序。   我们可以通过QSqlDatabase的讲台成员函数addDatabase()来创建一个连接,调用这个函数时,我们可以传递我们要 访问哪种类型的数据库。     
QSqlDatabase数据库
超哥的专栏
03-05 4551
#include <QSqlDatabase> #include <QtDebug> #include <QSqlQuery> #include <QSqlError> #include <QSqlRecord>//创建数据库 QSqlDatabase db = QSqlDatabase::addDatabase("QSQLITE", "sqlite1"); db.setHostName("acid
安全之sql注入攻击
QTCheng的博客
05-21 570
(一)演示sql注入常见问题        首先说一下 ‘OR’ , 大家肯定都知道 ‘或者的意思’ , 那么大家知道 ‘   OR '1' = '1'  ’ 是什么意思吗 ,接下来将演示SQL注入 , 先看一下登录背后的一些sql语句吧 , 向下看 , 这是我编写的一些登录sql语句!  填好正确的用户名(tarena)和密码(admin)后,点击提交,将会返回给我们“欢迎管理员”的界面。   ...
QSqlDatabase的学习
zhouzhouasishuijiao的博客
11-20 8209
QSqlDatabase提供了一个连接数据库的接口,一个QSqlDatabase象征一个连接,为了获取数据库数据,这个连接需要支持数据库的驱动,这些驱动在QSqlDriver里面,当然你可以根据QSqlDriver派生自己的类,在帮助文档里面,你可以学到如何写自己的数据库驱动 Static Public Members: QSqlDatabase addDatab...
Qt数据库QSqlDatabase
Black_Silencer的博客
04-23 865
QSqlDatabase 主要功能提供数据库连接 使用addDatabase()建立连接 //使用QPSQL数据库驱动,打开一个默认名字的连接 QSqlDatabase db = QSqlDatabase::addDatabase("QPSQL"); db.setHostName("acidalia"); db.setDatabaseName("customdb"); db.setUserName("mojito"); db.setPassword("J0
sql注入原理和防范方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-21 445
sql注入攻击防范的方法1、定制黑白名单:将常用请求定制为白名单,一些攻击频繁的攻击限制其为黑名单,可以通过服务器安全狗进行实现,服务器安全狗可以针对攻击类型把对方ip进行封禁处理,也可也对常用ip进行加白名单。   2、限制查询长度和类型:由于SQL注入过程中需要构造较长的SQL语句,同时有些不常用的查询类型我们可以进行限制,凡是不符合该类请求的都归结于非法请求予以限制。   3、数据库用户的权限配置:根据程序要求为特定的表设置特定的权限,如:某段程序对某表只需具备select权限即可,这样即使
mysql防止SQL注入
星空中的一颗星
07-12 231
mysql常用取值方式#{} ${} 第一种方式,通过JDBC preparedstatement 会设置参数 parameter ?的形式 ?会替换为字符串所以不会出现注入 select * from where i = #{var} var = 1;drop database; select * from where i = “1;drop database;” 第二种方式,直接替换,可能出现的问题是,select * from where i = ${var} var = 1;drop databas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值