Python 字符串拼接 sql ,造成 sql 注入例子

最新推荐文章于 2024-07-15 02:47:53 发布
最新推荐文章于 2024-07-15 02:47:53 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: python php 数据库
原文链接:http://www.cnblogs.com/klvchen/p/10108466.html

简单的 userinfo 表
1334255-20181212150401034-473704378.png
字符串拼接 sql 

import pymysql

# 测试环境的数据库连接
conn = pymysql.connect(host='192.168.0.214', port=3306, user='root', passwd='123456', db='tmpdb')
cursor = conn.cursor()

# 字符串拼接sql,用户名和密码都是乱写
sql = 'select username, password from userinfo where username="%s" and password="%s"'
sql = sql %('yy" or 1=1 -- ', '11111')
cursor.execute(sql)
r = cursor.fetchone()
print(r)

cursor.close()
conn.close()

# 运行结果,正确取到数值
('klvchen', '123456')

正常的写法

# __author__:"klvchen"
# date: 2018/12/12
import pymysql

conn = pymysql.connect(host='192.168.0.214', port=3306, user='root', passwd='123456', db='tmpdb')
cursor = conn.cursor()

cursor.execute('select username, password from userinfo where username=%s and password=%s', ('yy" or 1=1 -- ', '11111'))
r = cursor.fetchone()
print(r)

cursor.close()
conn.close()

# 运行结果,没有取到数值
None

转载于:https://www.cnblogs.com/klvchen/p/10108466.html

Python 数据库开发实战 - Python与MySQL交互篇②〗- SQL 注入攻击案例
易编橙 · 终身成长社群,相遇已是上上签!
08-22 4万+
上一章节,我们只是简单的了解了 MySQL Connector 的语法,完成了一个简单的案例。Python 语言操作数据库不是到这里就结束了后续还有很多高级的内容等着我们去学习,该章节我们就来学习一下对所有数据库都有效的 "SQL 注入攻击" 。
8、Python字符串处理艺术:格式化、拼接与正则表达式
silenceallat的博客
05-06 807
本文深入探讨了Python字符串处理的三大技巧:格式化、拼接与正则表达式。通过实例展示了这些技巧在实际开发中的应用,如生成报告、数据验证、文本分析等。同时,文章还介绍了这些技巧的高级用法,如捕获组、反向引用、正则表达式标志等,帮助读者更好地理解和掌握这些强大的工具。掌握这些字符串处理技巧,可以显著提升编程效率和文本数据处理能力。
Python实现sql拼接
最新发布
weixin_40248441的博客
07-15 482
Python实现SQL拼接 在进行数据库操作时,我们通常需要使用SQL语句来查询、更新、插入或删除数据。而在Python中,我们可以通过拼接字符串的方式来构建SQL语句,以实现对数据库的操作。本文将介绍如何在Python中实现SQL拼接的方法,并给出一些示例代码。 SQL拼接方法 在Python中,我们可以使用字符串拼接的...
mysql 字符串拼接_Python 之 MySql 每日一练 13
weixin_39612733的博客
11-28 208
一、表名和字段–1. 学生表 student (s_id,s_name,s_birth,s_sex) –学生编号,学生姓名,出生年月,学生性别–2. 课程表 course (c_id,c_name,t_id) –课程编号,课程名称,教师编号–3. 教师表 teacher (t_id,t_name) –教师编号,教师姓名–4. 成绩表 score (s_id,c_id,s_score) –学生编号,...
mysql 字符串拼接_day06python数据库mysql之pymysql
weixin_39949776的博客
11-28 412
安装pymysql模块两种方法:第一种:pip安装pip3 install pymysql第二种:链接,执行sql,关闭(游标)import pymysqluser= input('用户名:>>').strip()pwd= input('密码:>>').strip()#先链接,拿到游标conn=pymysql.connect(host='localhost',us...
pythonsql拼接字符串过程
XYLHxylh的博客
09-04 3257
a,b(是数字) sql="insert into stock_staff VALUES(a,b,c,d)" sql="insert into stock_staff VALUES(" +a,b,c,d+ ")" sql="insert into stock_staff VALUES(" +a+ "," +b+ "," +c+ ","
Python拼接SQL字符串的方法
热门推荐
yongwan5637的博客
12-12 1万+
在做接口自动化测试的时候,最为常见的是GET、POST两种请求类型的接口。对于GET请求,直接将参数写在URL后面,以"?"隔开,参数的键和值之间用“=”隔开,不同参数的之间用“&”隔开。这样组装成一个完成的Http请求数据,比如 http://127.0.0.1:8000/identity/accounts/get?_page=1&_count=10&_search_...
使用Python防止SQL注入攻击的实现示例
09-16
为了防止SQL注入,最关键的做法是在构建SQL语句时采用参数化查询或预编译语句,而不是简单地将用户输入拼接SQL字符串。这种方式可以确保输入被当作值而非可执行代码来处理。 #### 二、设置数据库 本节将通过一个...
pymysql如何解决sql注入问题深入讲解
09-09
当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```python import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = ' + str...
python一行sql太长折成多行并且有多个参数的方法
09-20
在这个例子中,我们使用了Python字符串格式化功能,其中%s表示字符串类型的占位符,%d表示整型的占位符。在SQL语句中,我们将这些占位符替换成相应的变量值,从而构造出了完整的SQL语句。 需要注意的是,在使用...
python拼接sql语句字符串 无效字符,Python拼接SQL字符串的方法
weixin_29170327的博客
03-26 1106
在做接口自动化测试的时候,最为常见的是GET、POST两种请求类型的接口。对于GET请求,直接将参数写在URL后面,以"?"隔开,参数的键和值之间用“=”隔开,不同参数的之间用“&”隔开。这样组装成一个完成的Http请求数据,比如http://127.0.0.1:8000/identity/accounts/get?_page=1&_count=10&_search_key...
sql字符串拼接
qq_34083182的博客
02-23 6630
1. 概述在SQL语句中经常需要进行字符串拼接,以sqlserver,oracle,mysql三种数据库为例,因为这三种数据库具有代表性。sqlserver:select '123'+'456'; oracle:select '123'||'456' from dual; 或 select concat('123','456') from dual; mysql:select concat('12...
Python中用format函数格式化字符串的用法
u011089523的博客
09-14 1648
这篇文章主要介绍了Python中用format函数格式化字符串的用法,格式化字符串Python学习当中的基础知识,本文主要针对Python2.7.x版本,需要的朋友可以参考下 自python2.6开始,新增了一种格式化字符串的函数str.format(),可谓威力十足。那么,他跟之前的%型格式化字符串相比,有什么优越的存在呢?让我们来揭开它羞答答的面纱。 语法 它通过{}和:来代替%。 “
python使用插入带有%的字符串到mysql数据库
彭世瑜的博客
07-18 6905
使用Navicat插入 新建包含两个字段,分别是id(自增主键),name(姓名)的数据表 CREATE TABLE `student` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` `varchar`(20) DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARS...
Python学习8---eval与字符串的转换、with语句
qq_33661910的博客
07-17 388
#Author:Du Yang #Data:2018/7/12 #字典转换字符串 location = {"辽宁":{"阜新":{"细河区":{"辽工大北校区":{}}}}} print("原字典格式:%s \t"%type(location), location) print("字典转字符串:%s\t"%type(str(location)),str(location)) print
python处理sql字符串的问题
前方的路在刚开始
01-11 996
pythonsql遇到一个问题,这个问题是,我的字符串sql语句产生了新的sql,导致语法错误。 修改方法如下,采用%s定义字符串。 代码 伪代码 import pymysql sql='select 字段1,字段2 from 表 where 字段1 in' strItem=strItem+","+"%s" #%s与字段的顺序一致 sql_list=字段 cur.execute(...
【mysql数据库python 3.7 脚本执行SQL语句,关于字符串变量的注意事项
陈小超的技术博客
11-25 2363
转载一篇网友介绍Python 数据库的Connection、Cursor两大对象,写的非常好。 https://blog.youkuaiyun.com/guofeng93/article/details/53994112 最新在使用python操作数据库,发现使用cursor.execute执行mysql数据时,字符串变量的规范用法,总结如下。1、字符串变量与SQL语句在同一个表达式中时,通配符使用 '%s...
python学习之字符串拼接的四种方法
分享型博主
02-07 6604
忘了在哪看到一位编程大牛调侃,他说程序员每天就做两件事,其中之一就是处理字符串。相信不少同学会有同感。在Python中,我们经常会遇到字符串拼接问题,几乎任何一种编程语言,都把字符串列为最基础和不可或缺的数据类型。而拼接字符串是必备的一种技能。今天,一起来学习Python拼接字符串的四种方法。 这种方式最常用、直观、易懂,是入门级的实现方式。但是,新入门编程的同学容易犯错,他们不知道字符串是不可变类型,新的字符串会独占一块新的内存,而原来的字符串保持不变。上例中,拼接前有两段字符串拼接后实际有三段字符串
python拼接字符串的方式写sql语句
05-29
当使用Python操作MySQL数据库时,可以使用字符串拼接的方式构造SQL语句。以下是一个例子: ```python import pymysql # 连接MySQL数据库 conn = pymysql.connect(host='localhost', user='root', password='...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值