Django执行原生sql时, 解决防注入占位符的%与LIKE模糊查询的%歧义导致sql解析失败问题

转载 已于 2023-03-23 11:29:17 修改 · 949 阅读 · 3
文章标签:

#django #sql #数据库

于 2023-03-03 16:53:24 首次发布
在Django中,当内置查询功能不足时,可能需要使用原生SQL。为了防止SQL注入,官方推荐使用params参数列表传递值,而非直接拼接。例如,在模糊匹配查询中,%应放在params列表中,用%%在SQL中转义。文章展示了正确处理LIKE条件和参数绑定的方式。

当Django ORM的内置函数满足不了查询需求时, 有时需要执行原生sql, 官方文档推荐通过params参数列表传参, 而不是直接将参数拼接到sql语句中, 以防止sql注入

from django.db import connection

query_name = "test_name"
query_class = "test_class"
# 第1种, 直接将参数直接拼接到sql语句中
sql = f"SELECT * FROM tmp_table WHERE name='{test_name}' AND class='{query_class}'"
with connection.cursor() as cursor:
	cursor.execute(sql)

# 第2种(官方推荐), 在sql语句中用%s占位, 通过params参数列表传参(占位符周围不应包含引号)
sql = "SELECT * FROM tmp_table WHERE name=%s AND class=%s"
params = [query_name, query_class]
with connection.cursor() as cursor:
	cursor.execute(sql, params)

当涉及到字符串的模糊匹配查询时, 构造的原生sql中也会出现%, 此时LIKE条件语句中的%应该跟随参数一起放到params参数列表中, 直接放到原生sql语句中会导致解析失败

from django.db import connection

keyword = "小红"
query_class = "test_class"
# 第1种, 直接将参数直接拼接到sql语句中
sql = f"SELECT * FROM tmp_table WHERE name LIKE '%{keyword}%' AND class='{query_class}'"
with connection.cursor() as cursor:
	cursor.execute(sql)

# 第2种, 在sql语句中用%s占位, 通过params参数列表传参(占位符周围不应包含引号, sql中出现%时应当用%%来转义)
# 将LIKE的模糊匹配查询%放在sql语句中, 会导致sql解析失败
sql = "SELECT * FROM tmp_table WHERE name LIKE %%%s%% AND class=%s"
sql = "SELECT * FROM tmp_table WHERE name LIKE '%%%s%%' AND class=%s"
# 上述两种写法都会导致sql解析失败
sql = "SELECT * FROM tmp_table WHERE name LIKE %s AND class=%s"
keyword = f"%%{keyword}%%"
# 将%跟随参数一起拼接后放到params参数列表中, 问题完美解决
params = [keyword, query_class]
with connection.cursor() as cursor:
	cursor.execute(sql, params)

参考: https://www.cnblogs.com/zhujincheng/p/10323427.html

〖Python 数据库开发实战 - PythonMySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
Python全栈(十)Django框架之5.原生SQL语句使用和ORM简介
CUFEECR的博客
09-11 2102
使用Django操作数据库,需要安装驱动,包括mysqlclient等;Django使用MySQL需要配置。Django中使用原生SQL语句就是使用Python DB API来操作,视图中使用connection创建游标,并执行SQL语句,有多种方法和属性可以使用。图书管理系统需要先实现并展示图书列表;可以使用模板继承,还需加入CSRF,视图函数中根据请求方法分别实现请求逻辑;实现详情;实现删除;实现修改。原生SQL语句存在很多问题ORM把表映射成类、把记录作为实例、把字段作为属性,具有很多优点。
django中使用原生sql语句
蟹老板的博客
12-16 1097
row: row方法:(掺杂着原生sqlorm执行的操作) res = CookBook.objects.raw('select id as nid from epos_cookbook where id>%s', params=[1, ]) print(res.columns) # ['nid'] print(type(res)) # <class 'django.db.models.query.RawQuerySet'> 在select里面查询到的数据orm里面的要一一对
偷偷告诉mysql这47个SQL性能优化技巧,赶紧收藏了!
力哥讲技术
02-22 1946
然而,查询解析器认为这是两个不同的SQL语句,要解析两次,生成两个不同的执行计划,作为一名严谨的Java开发工程师,应该保证两个一样的SQL语句,不管在任何地方都是一样的。新行标识所用的计数值重置为该列的种子。SQL执行计划是可以被重用的,SQL越简单,被重用的概率越大,生成执行计划也是很耗的。Innodb是以聚集索引的顺序来存储的,对于Innodb来说,二级索引在叶子节点中所保存的是行的主键信息,如果是用二级索引查询数据的话,在查找到相应的键值后,还要通过主键进行二次查询才能获取我们真实所需要的数据。
Django聚合分组查询(FQ查询|ORM查询优化|常见字段参数)
主要发布一些日常学习代码及理解
09-06 2760
详细介绍了Django聚合、分组查询、(FQ查询|ORM查询优化|常见字段参数)文章较长干货满满
JDBC sql模糊查询 占位符 ‘?‘ 问题
xiaoxiao66668的博客
05-30 777
String sql = "select customercode, customername, phone, address, relationman, other from customer" + " where customername like \"%\"?\"%\" ";
模糊查询 占位符
weixin_57219176的博客
07-20 530
模糊查询 占位符
python+Django实现防止SQL注入的办法
09-18
在Python和Django框架中,防止SQL注入是一个重要的安全措施,因为SQL注入攻击可能导致数据泄露、权限提升甚至整个系统的瘫痪。以下是如何在Django中有效地实现这一目标的方法。 首先,了解SQL注入的基本原理至关...
Django5】ORM执行SQL语句和事务
最新发布
sishihao的博客
07-25 1402
第十二章 ORM执行SQL语句和事务。
django 使用原生sql
Victor_Monkey的博客
08-28 3419
Django中查询筛选数据,大多数是使用封装好的orm,其中有一些较为复杂的sql语句很难使用orm实现,因此在此引入Django原生sql的使用方法 在Django中使用原生Sql主要有以下三种方法: 一:extra:结果集修改器,一种提供额外查询参数的机制 二:raw:执行原始sql并返回模型实例 三:直接执行自定义Sql 举例说明使用方法 from djang...
mysql 模糊查询 占位符_MySQL 一般模糊查询的几种用法
weixin_33557333的博客
01-19 6186
1.%:表示零个或多个字符。在某些情况下需要中文查询,一般用两个%来查询,即%%;select * from user where name like %%;-->表示:查询user表中的name为 xx五xx 、五xx、xx五 的信息;select * user from where name like %%%-->能搜索出 张王五 但是不能搜索出 张五王;2._(下划线):...
占位符的模糊查询
bin498507607的博客
11-16 4614
在模糊查询语句中,需要用到占位符“?”传递参数sql语句中不能有%,如下: 正确写法 //定义sql语句,?表示占位符 String sql = "select * from users where name like ?"; //获取预编译的statement preparedStatement = connection.prepareStatement(sql); //设置参数
mysql 模糊查询 占位符_模糊查询使用占位符出现问题
weixin_39924307的博客
01-19 880
publicclassListServletextendsHttpServlet{@OverrideprotectedvoiddoGet(HttpServletRequestreq,HttpServletResponseresp)throwsServletException,IOException{//TODOAuto-generatedmethodstubtry...
SQL模糊查询特殊字符的处理方式总结
weixin_34310369的博客
09-23 588
当编写WHERE语句中有LIKE条件,如果参数中需要匹配 % 和_ 等特殊字符,必须进行处理,否则系统会将其当成通配符处理。 SqlServer: 有两种方案 一:将参数中的[ 替换成 [[], % 替换成 [%], _ 替换成 [_];(推荐用这种方案处理) 二:先将参数中的\ 替换成 \\,[替换成\[ , % 替换成 \%, _ 替换成 \_; 然后在每个需要li...
【MySQL索引】如何使模糊查询索引不失效,且使得字段两边都能加上%
Cocowwy的博客
06-07 6499
当我们使用模糊查询的候对SQL加索引,应该加在字段的右边,而不在字段左边或者两边,因为这样做会导致所以的失效,那么如何能做到加在两边呢? 先上一个例子: 下图是数据库表 CREATE TABLE `tbl_user`( `id` INT(11) NOT NULL AUTO_INCREMENT, `name` VARCHAR(20) DEFAULT NULL, `age`INT(11) DEFAULT NULL, `email` VARCHAR(20) DEFAULT NULL, PRIMARY KEY(`
SQl语句通配符实现模糊查找
gronrui2的博客
09-11 1065
SQL 中的通配符之一,用于表示任意字符的占位符。最终,在 SQL 查询中匹配包含任意前缀和后缀的。这三部分字符串连接在一起,形成一个新的字符串。函数,它会将多个字符串值连接在一起。就是模糊查询的条件,下面是用法介绍。
Django 如何防止 SQL 注入(Python)
PixelShadeZ的博客
09-24 430
SQL 注入是一种常见的网络安全漏洞,攻击者通过在用户输入中插入恶意 SQL 代码,从而能够执行未经授权的数据库操作。因此,仍然建议保持更新并关注 Django数据库的安全性最佳实践,以及定期审查和更新你的代码来应对新出现的安全漏洞。在上面的代码中,我们使用 Django 的表单类来定义一个登录表单,并指定字段的验证规则。通过采取这些措施,你可以大大降低 SQL 注入攻击的风险,并保护你的 Django 应用程序的安全性。在上面的代码中,我们使用了 DjangoORM执行数据库查询。
django中模糊查询
lizhenqi123456的博客
08-22 1755
django中模糊查询
mybatis模糊查询特殊符号%(百分号)和_(下划线)不转义
qq_28433521的博客
06-02 4475
在使用mybatis的模糊查询,有两个特殊符号需要注意: %(百分号):相当于任意多个字符; _(下划线):相当于任意的单个字符; 处理方法: 1: (查询条件参数,比如"xx%_x")param.replaceAll("%", "/%").replaceAll("-", "/-") 2-1: select * from table where column like concat('%',#{param},'%') escape '/'; 2-2: vc.title like conc
django怎么用原生sql实现like %%
05-17
Django中,你可以使用raw SQL语句来实现LIKE %%查询。以下是一个例子: ``` from django.db import connection def search_products(name): with connection.cursor() as cursor: cursor.execute("SELECT * FROM products WHERE name LIKE %s", ['%' + name + '%']) products = cursor.fetchall() return products ``` 在这个例子中,我们使用了`cursor.execute()`方法来执行原生SQL语句。我们使用了占位符`%s`来表示我们需要传递一个参数,在这里我们把需要查找的关键字通过字符串拼接的方式传递给了`execute()`方法。注意,我们需要在传递给`execute()`方法的参数中添加`%`符号来实现LIKE %%的效果。 使用原生SQL语句需要注意的是,它可能会使你的代码更难维护和更容易出错。因此,我们建议尽可能地使用DjangoORM查询API来查询数据。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值