Django sql注入及解决方案

最新推荐文章于 2024-07-18 10:54:23 发布
原创 最新推荐文章于 2024-07-18 10:54:23 发布 · 2.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#django #sql注入 #django模糊查询

本文探讨了Django中如何防范SQL注入,通过示例展示了使用ORM和参数化查询来避免此类安全问题。对于简单的查询,推荐使用Django ORM;对于含like的模糊查询,可使用参数化方法,如`'%{}

Django sql注入及解决方案

前言:sql注入多发生在拼接sql语句等场景,对数据库进行越权访问或其他危险操作,危害极其严重,本文介绍在django中sql注入的预防措施。
示例:
简单的查询语句:

my_connection = connections['default']
with my_connection.cursor() as cursor:
    sql = "select * from my_table where id=%s "%(pk)
    cursor.execute(sql)
    result = cursor.fetchall()

当进行如图所示的查询操作时,将获取my_table数据表所有数据
在这里插入图片描述
解决方案:
一:使用django的orm查询,可有效避免sql注入问题。较简单,不在此赘述
二:参数化查询
1.简单查询,上述查询代码修改为:

my_connection = connections['default']
with my_connection.cursor() as cursor:
    sql = '''select * from my_table where id = "%s" '''
    cursor.execute(sql,[pk])
    cursor.execute(sql)
    result = cursor.fetchall()

sql注入问题得以避免
在这里插入图片描述
2.模糊查询,如含like的语句,将参数处理为 “%{}%”的格式:

my_connection = connections['default']
with my_connection.cursor() as cursor:
    sql = '''select * from my_table where id like %s '''
    cursor.execute(sql,['%{}%'.format(pk)])
    cursor.execute(sql)
    result = cursor.fetchall()
[ vulhub漏洞复现篇 ] Django SQL注入漏洞复现 CVE-2021-35042
qq_51577576的博客
09-28 3064
[ vulhub漏洞复现篇 ] Django SQL注入漏洞复现 CVE-2021-35042 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。
防止XSS和SQL注入:后端输入验证终极方案
最新发布
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-10 972
在互联网世界中,用户输入是系统与外界交互的“大门”,但这扇门也可能成为黑客的“突破口”。据OWASP(开放Web应用安全项目)2023年报告,XSS跨站脚本攻击和SQL注入连续10年稳居“Web应用十大安全漏洞”前两名,每年因这两类漏洞导致的数据泄露、系统瘫痪等事件造成的经济损失超百亿美元。XSS和SQL注入的攻击原理与典型场景为什么前端验证无法替代后端验证?后端输入验证的三大核心方法(白名单、正则、转义)从代码实现到项目落地的完整防护方案用“快递安检”故事引出输入验证的重要性。
Django中的SQL注入攻击防御策略
爱编程的鱼的博客
02-08 2173
Django中的SQL注入攻击防御策略
Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234)
weixin_45653478的博客
05-18 651
CVE-2019-14234 是一个 SQL 注入漏洞,它存在于 Django 框架中的 JSONField 和 HStoreField 字段类型中。当开发者使用这些字段类型,并且允许用户通过查询集(queryset)的键名(key name)来执行查询时,就可能会受到此漏洞的影响。由于 Django 在处理这些查询时使用了简单的字符串拼接,恶意用户可以通过构造特定的查询来注入恶意的 SQL 代码。
Django SQL注入 (CVE-2022-28346)
weixin_46801402的博客
11-01 1239
Django SQL注入 (CVE-2022-28346)
django-sql注入攻击
随风逆流的蒲公英的博客
06-18 570
什么是sql注入注入本质上就是把输入的数据变成可执行的程序语句,所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。它能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中,SQL Injection 漏洞的风险要高过其他所有的漏洞。
django sql注入漏洞28346
04-02
关于Django框架中SQL注入漏洞28346的具体信息及解决方案,根据Django官方安全公告和代码库提交记录,该漏洞编号对应2022年10月发布的CVE-2022-41323。以下是详细说明: ### 漏洞详情 该漏洞存在于Django的`Trunc()`...
SQL注入源码解决方案详解
综上所述,“sql注入源码杜绝网站被注入”这一资源的价值在于提供了理论与实践相结合的解决方案,强调通过规范化编码习惯、合理使用安全API、加强系统配置与监控来全面提升Web应用的安全性。掌握这些知识不仅有助...
基于AWS S3的Django SQLite数据库后端解决方案
Zappa 是一个专门用于将 Python WSGI 应用部署到 AWS Lambda 和 API Gateway 的工具,它能够自动打包 Django 项目并配置相关资源,而 django-s3-sqlite 正是为其生态补充了缺失的数据库持久层解决方案。 然而,这一...
Django SQL注入 (CVE-2021-35042)
qq_23003811的博客
07-18 489
order_by 是来自 Web 应用程序客户端的不受信任的输入,而 3.1.13 之前的 Django 3.1.x 和 3.2.5 之前的 3.2.x 允许 QuerySet.order_by SQL 注入。3、访问/vuln/?order=页面报错,有回显,而且flag就在这里。2、访问vuln/,返回一个数据列表,有列表首先想到的就是排序。1、输入任意不存在目录,提示存在vuln/接口。Django 3.2.5 之前的 3.2.x。
django SQL注入(CVE-2019-14234)
m0_65150886的博客
02-26 855
Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。在1.11.x before 1.11.23、2.1.x before 2.1.11和2.2.x before 2.2.4的版本中,Django存在安全漏洞,Django中使用了JSONField并且查询的“键名”可控,导致存在SQL注入漏洞。
vulfocus——Django SQL注入(CVE-2021-35042)
m0_62063669的博客
09-17 1000
如果 order_by 是来自 Web 应用程序客户端的不受信任的输入,则 3.1.13 之前的 Django 3.1.x 和 3.2.5 之前的 3.2.x 允许 QuerySet.order_by SQL 注入。2.根据提示访问,根据返回的信息可得出order传入的值可控。3.利用堆叠+报错进行注入(flag在报错页面的下面)(当为“id”正序排列,当为“-id”反序排列)
Django SQL注入漏洞复现(CVE-2021-35042)
xiaobai_20190815的博客
04-08 6958
一、漏洞介绍 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。利用方式:1、用户认证:不需要用户认证 2、触发方式:远程,属于高危漏洞。 二、影响版本 Django 3.2 Django 3.1 三、源码分析 在add_ordering()函数中,进行如下了五个判断:字段中是否带点、字段是否为问号、字段开头是否
【漏洞复现-django-SQL注入】vulfocus/django-cve_2022_28346
10-12 2092
django-SQL注入】可控参数注入
CVE-2022-28346:Django SQL注入漏洞
Foreverlove112的博客
09-24 1258
CVE-2022-28346:Django SQL注入漏洞
Django网站建设-sql注入、xss攻击、csrf攻击
叶嘉的博客
02-21 1347
SQL注入 1.在网页中利用sql语句进行注入攻击,网页获取用户输入参数,但有些恶意用户利用特殊sql语句上传参数,后端获取参数若不对其正确性合法性进行判断,则有可能对数据库造成危害 2.get和post上传数据的时候,做好对参数的检查 3.利用Dajngo的ORM可有效避免sql注入,因为Django已经对特殊字符进行转义 不安全的视图逻辑举例:未对用户post的数据进行正确性合...
Djangosql注入,XSS攻击,CSRF攻击原理及防护
time
06-21 5905
sql注入的危害非法操作用户数据库的数据来获取利益,通过修改数据库来修改网页的内容,注入木马等未完待续
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值