QT5 的QSqlDatabase 防止SQL注入

最新推荐文章于 2023-02-21 09:25:57 发布
原创 最新推荐文章于 2023-02-21 09:25:57 发布 · 1.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #mysql

本文介绍了如何在Python中使用PyQt5的QSqlQuery模块避免SQL注入问题,通过prepare()和bindValue()方法正确处理参数,确保代码安全。重点讲解了addBindValue()和bindValue()的用法以及它们在执行SQL查询时的区别。

用拼接字符串方式构造SQL语句比较容易犯sql注入问题。

常见的防范方式是以参数传入的方式处理,(把参数通过数据库提供的接口传入数据库,在数据库里面处理,而不是在数据库外面拼接SQL语句)

python 中一般是在游标执行execute时传递参数

uid=123
pwd='bb987#$!~EE' 
args = (uid, pwd)
cur.execute('select * from user_table where uid = %s and pwd = %s', args )

注意:

对于传入的字符串类型的参数,在构造sql语句的模板上不需要加引号,mysql会自动转义及加引号的。

但对于string.format(参数值,参数值) 和 string % (参数值,参数值) 方式先把sql生成好再直接执行的方式,是需要手动加引号的。

uid=100
pwd='976$#@387'
cur.execute(“select * from user_table where uid = %s and pwd = %s”, (uid,pwd) )

# 上面这句pwd位置不需要加引号,sql模板和值之间是用逗号【分隔】。
# 下面这句pwd位置需要加引号,   sql模板和值之间是用百分号【连接】。

cur.execute(“select * from user_table where uid = %s and pwd = '%s'” % (uid,pwd) )

但QT5的QsqlQuery的exec函数不支持这种方式。提示:too many arguments

建议使用QSqlQuery.prepare  官方文档:

最低0.47元/天 解锁文章
QT开发】数据库连接管理QSqlDatabase类详解及实战应用
科技改变人类,技术成就未来
07-15 2273
QSqlDatabaseQt 提供的一个功能强大且灵活的数据库连接管理类,通过本篇文章的学习,你应该对 QSqlDatabase 有了全面的理解,能够在自己的项目中正确使用它。QSqlDatabase 在用户
Qt登录界面,演示SQL注入攻击
最新发布
编程到管理、技术到产品
05-08 392
3、使用账号 xiaoming 密码 ' OR '1'='1 确认可以通过SQL注入的方式登录。1、正常注册一个账户 xiaoming 密码 xiaoming ,注册成功。4、输入任意账号(未注册用户) 密码 ' OR '1'='1 也可以登录。2、使用账号 xiaoming 密码 xiaoming ,确认可以登录。1、使用bindValue 可以防止SQL注入
Qt_数据库, QSqlDatabase, QSqlQuery
WChang的博客
03-03 1450
catalogoverview驱动层SQl接口层用户接口层SQLiteSqlQuery overview QT SQL模块提供了一个【与平台无关】【与数据库无关】的访问SQL数据库的接口 / QT都是通过一个【模块】来提供对某种【功能】的支持,比如对于数据库功能 就对应SQL模块 / 所谓模块,即QT在他里面写了很多的类 / 引入一个模块, 在项目文件.pro里 添加【QT += sql】 驱动层 驱动层是为【数据库】与【SQL接口层】提供了桥梁 QTSQL模块是独立于数据库的,所以所有的数据库代码都在
sql注入防止SQL注入
qq_35285268的博客
06-12 557
header('content-type:text/html;charset=utf-8'); $dsn = "mysql:host=127.0.0.1;dbname=username"; $db = new PDO($dsn,'root',''); $username=shiyan; $pwd=000; //未设置预处理之前 $sel="select * from user whe
pqsql注入
ThomasXiao2013的博客
09-27 219
数据库查询时经常会遇到根据传入的参数查询内容的情况,传入的参数有可能会带有恶意代码,比如or 1=1,这样where判断为true,就会返还所有的记录。为了解决这个问题,可以在参数外面包一层单引号,pgsql有扩展包pg-promise来解决,使用方式如下: import * as PostgresUtil from 'pg-promise' PostgresUtil.as.form...
关于一些简单的防止sql注入
谢先生的日记
05-08 305
我们防止sql注入有这个方法, 我们在识别sql注入的时候我们需要对数据进行一系列的处理,使我们的网站安全性更高,那我们就要防止sql注入 对字符串进行替换 public static string ReplaceSqlKey(string strRequest) { strRequest = strRequest.ToLower(); //s...
Qt SQLQSqlDatabase
友善啊,朋友的博客
08-26 8118
Qt SQLQSqlDatabase
QT_SQL_querymodel.rar_Qt SQL Server_qt sql_qt 数据库_qt+sql_sql qt
09-14
QT SQLQt 框架中的一个重要组成部分,用于在 Qt 应用程序中与各种关系型数据库进行交互。Qt SQL 提供了一套丰富的 API,使得开发者可以方便地执行 SQL 查询、管理数据表、处理结果集等操作,而无需关心底层...
SQL.rar_Qt数据库_qt sql_qt 数据库_qt 数据库操作_qt数据库
09-23
7. **预编译语句**: 使用QSqlQuery的prepare()方法可以预编译SQL语句,提高性能,防止SQL注入攻击。 8. **数据库模型视图架构**: QtQTableView、QSqlTableModel等组件可以与数据库直接绑定,实现数据库数据的直观...
QSqlDatabase
09-11 1万+
QSqlDatabase 代表一个数据库连接,该类提供了访问数据库的接口,而该类的实例代表着一个数据库的连接   而这个连接通过支持的数据库驱动程序进行访问,或者, 你可以从QSqlDriver子类化数据库驱动程序。   我们可以通过QSqlDatabase的讲台成员函数addDatabase()来创建一个连接,调用这个函数时,我们可以传递我们要 访问哪种类型的数据库。     
QSqlDatabase数据库
超哥的专栏
03-05 4590
#include <QSqlDatabase> #include <QtDebug> #include <QSqlQuery> #include <QSqlError> #include <QSqlRecord>//创建数据库 QSqlDatabase db = QSqlDatabase::addDatabase("QSQLITE", "sqlite1"); db.setHostName("acid
Qt SQL模块之QSqlDatabase
热门推荐
mabiao0825的博客
04-14 1万+
QSqlDatabase类处理与数据库的连接,要使用这个类,头文件需要导入QSqlQueryModel库: Header: #include <QSqlDatabase> 在qmake.pro文件中加入SQL数据库支持: QT += sql 这个类提供了以下公共方法: QSqlDatabase(const QSqlDatabase &other) QSqlDatabase() QSqlDatabase & operator=(const QSqlDatabase &
安全之sql注入攻击
QTCheng的博客
05-21 592
(一)演示sql注入常见问题        首先说一下 ‘OR’ , 大家肯定都知道 ‘或者的意思’ , 那么大家知道 ‘   OR '1' = '1'  ’ 是什么意思吗 ,接下来将演示SQL注入 , 先看一下登录背后的一些sql语句吧 , 向下看 , 这是我编写的一些登录sql语句!  填好正确的用户名(tarena)和密码(admin)后,点击提交,将会返回给我们“欢迎管理员”的界面。   ...
QSqlDatabase的学习
zhouzhouasishuijiao的博客
11-20 8245
QSqlDatabase提供了一个连接数据库的接口,一个QSqlDatabase象征一个连接,为了获取数据库数据,这个连接需要支持数据库的驱动,这些驱动在QSqlDriver里面,当然你可以根据QSqlDriver派生自己的类,在帮助文档里面,你可以学到如何写自己的数据库驱动 Static Public Members: QSqlDatabase addDatab...
Qt数据库QSqlDatabase
Black_Silencer的博客
04-23 925
QSqlDatabase 主要功能提供数据库连接 使用addDatabase()建立连接 //使用QPSQL数据库驱动,打开一个默认名字的连接 QSqlDatabase db = QSqlDatabase::addDatabase("QPSQL"); db.setHostName("acidalia"); db.setDatabaseName("customdb"); db.setUserName("mojito"); db.setPassword("J0
sql注入原理和防范方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-21 487
sql注入攻击防范的方法1、定制黑白名单:将常用请求定制为白名单,一些攻击频繁的攻击限制其为黑名单,可以通过服务器安全狗进行实现,服务器安全狗可以针对攻击类型把对方ip进行封禁处理,也可也对常用ip进行加白名单。   2、限制查询长度和类型:由于SQL注入过程中需要构造较长的SQL语句,同时有些不常用的查询类型我们可以进行限制,凡是不符合该类请求的都归结于非法请求予以限制。   3、数据库用户的权限配置:根据程序要求为特定的表设置特定的权限,如:某段程序对某表只需具备select权限即可,这样即使
mysql防止SQL注入
星空中的一颗星
07-12 245
mysql常用取值方式#{} ${} 第一种方式,通过JDBC preparedstatement 会设置参数 parameter ?的形式 ?会替换为字符串所以不会出现注入 select * from where i = #{var} var = 1;drop database; select * from where i = “1;drop database;” 第二种方式,直接替换,可能出现的问题是,select * from where i = ${var} var = 1;drop databas
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值