python - mysqldb模块防注入设置

最新推荐文章于 2023-06-03 23:59:50 发布
原创 最新推荐文章于 2023-06-03 23:59:50 发布 · 2.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysqldb防注入

本文介绍如何使用mysqldb的escape_string()方法对用户输入进行转义处理,以防止SQL注入攻击。同时介绍了使用execute()方法的第二个参数进行字符串安全传递的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mysqldb有处理sql语句的转义方法, 我们不用再考虑关于字符转义的问题

在接收到客户端用户发送的表单之后, 如果需要根据用户输入来获取数据, (即需要把用户提交的一些数据作为sql语句的一部分), 如果是这样的话, 我们需要对其防注入处理.


利用MySQLdb.escape_string()方法对用户输入字段进行转义

MySQLdb.escape_string()可以对用户输入进行转义处理, 以便把用户输入的数据用作sql语句的一部分.我们可以这么用

import MySQLdb
conn = MySQLdb.connect(host='localhost', user='root', passwd='', db='test')
user_keyin = 'aaa'
user_keyin = MySQLdb.escape_string(user_keyin)
cur = conn.cursor()
cur.execute("select * form table where col="+user_keyin+"")
我们先把user_keyin(用户输入)的字符串用MySQLdb.escape_string()转义,然后把它加进作为execute的参数sql语句里.

注意! MySQLdb.escape_string()在处理中文字符串的时候可能出现错误

'ascii' codec can't encode characters in position 0-2: ordinal not in range(128)

这是因为用户输入的字符串的字符集是ascll,但是ascll不支持中文, 所以我们可以把python的默认字符集改成utf-8就可以了

# 把它放到代码最前面
import sys
reload(sys)
sys.setdefaultencoding('utf-8')


利用execute的第二个参数

这种方法更加简便.

我们可以把用户输入编为一个列表或者元组, 然后直接把它加到execute()的第二个参数里, 这样子execute就自动帮我们转义这些字符串了.看例子

#前面代码省略

# 这是有效的
cur.execute('select * from table where col=%s',(user_keyin,))

# 这是无效的,请仔细对比一下参数
cur.execute('select * from table where col=%s'% (user_keyin,))
请注意! 第一个参数是sql语句, 而需要插入user_keyin部分则用%s代替(不需要加引号), 还有一个, 如果你是用python的字符串拼接的话, 是无效的, 因为只有一个参数输入.

/* 18-1-30 更新 */
上面说到的第二种方法有一个小问题, 就是这种办法不能把表名给抽离出去, 就是说, 不应该把表名放在第二个参数里由execute方法自动组成sql语句,会报错, 这时候只能用第一种(如果需要的话)

以上!



                

        

    

    
  



    



                



	

		

			

				
					
python如何防止SQL注入攻击?

				
			

			

				

					abckingaa的博客
				

				

					08-14
					
					495
					
				

			

		

		

			
				
python如何防止SQL注入攻击?在您提供的 ORM 示例中,我们已经有了防止 SQL 注入的基本保障,因为我们使用了参数化查询。但是,为了进一步增强代码的清晰性安全性,我们可以确保在分页查询插入等操作中都使用参数化查询,同时加入类型验证以防止意外输入。

			
		

	



                

            
              



	

		

			

				
					
python怎么防止命令注入_Python3命令注入防范

				
			

			

				

					weixin_35853083的博客
				

				

					02-04
					
					1303
					
				

			

		

		

			
				
一、背景说明说实话自己是做安全的,平时总是给别人代码找茬,但轮到自己写代码有时比开发还不注重安全,其中有安全脚本一般比较小考虑安全那么处理安全问题的代码比重将会大大超过业务代码的问题也有不是专职开发添加一项功能还没开发那么熟练的问题。由于安全脚本一般不是对外开启服务的,所以一般也不会暴出什么问题。但前段时间被拉群通知说自己写的一个脚本存在命令注入漏洞,开始很讶异,经沟通分析之后发现是因为脚本有通...

			
		

	



              


  
              

                


	

		

			

				
					
python下的MySQLdb使用

				
			

			

				

					weixin_34209406的博客
				

				

					12-08
					
					328
					
				

			

		

		

			
				
下载安装MySQLdb 
<1>linux版本
http://sourceforge.net/projects/mysql-python/下载,在安装是要先安装setuptools,然后在下载文件目录下,修改mysite.cfg,指定本地mysql的mysql-config文件的路径
<2>windows版本
网上搜索到一个http://w...

			
		

	





	

		

			

				
					
Python防止sql注入

				
			

			

				

					weixin_34334744的博客
				

				

					06-23
					
					319
					
				

			

		

		

			
				
看了网上文章,说的都挺好的,给cursor.execute传递格式串参数,就能防止注入,但是我写了代码,却死活跑不通,怀疑自己用了一个假的python
 
最后,发现原因可能是不同的数据库,对于字符串的占位定义不同,这段话:
Note that the placeholder syntax depends on the database you are using

'qmark' Q...

			
		

	



		

			
		



	

		

			

				
					
Python - MySqldb 防sql注入 - 底层原理分析

				
			

			

				

					YellowOne的博客
				

				

					07-17
					
					1316
					
				

			

		

		

			
				
引言
上周,我写的项目(基于tornado框架),被同事质疑存在sql注入风险。虽然我的代码确实写的像一坨屎,但是有人当众指出这是一坨屎,让我很难下台。为了证明我的代码虽然是一坨屎,但是它是一坨安全的,至少在防sql注入方面是安全的屎,我决定研究一下python中对mysql的操作(基于MySQLdb库)是怎么做到防sql注入的,是否真的可以防sql注入,以给质疑我的同事一个答复,也为我的代码正...

			
		

	





	

		

			

				
					
PYTHON操作MYSQL时防止SQL注入

				
			

			

				

					朝着梦想 渐行前进
				

				

					09-15
					
					5992
					
				

			

		

		

			
				
下面是网上搜到的一篇关于SQL注入的文章。最近在项目中涉及到防止SQL注入的部分,但是由于使用的是PYTHONMYSQL,使用不了JAVA代码中提供的一些现成的方法,而且MYSQLDB模块中的EXECUTE方法不支持表名使用占位符。

execute(self,query,

			
		

	





	

		

			

				
					
Python MySQLdb模块连接操作mysql数据库实例

				
			

			

				

					09-10
				

			

		

		

			
				
Python中的MySQLdb模块Python连接MySQL数据库的一个标准库,它为Python程序员提供了与MySQL服务器交互的能力。MySQLdb遵循Python的DB-API(数据库应用编程接口)规范,使得在不同数据库之间切换变得较为简单,因为...

			
		

	





	

		

			

				
					
MySQL-python-1.2.3.win-amd64-py2.7

				
			

			

				

					08-06
				

			

		

		

			
				
安装完成后,用户就可以在Python脚本中导入`MySQLdb`模块,开始编写与MySQL数据库交互的代码。  总的来说,MySQL-python库是Python开发人员在Windows环境中连接操作MySQL数据库的重要工具。通过这个压缩包提供的...

			
		

	





	

		

			

				
					
Python MySQLdb 使用utf-8 编码插入中文数据问题

				
			

			

				

					09-20
				

			

		

		

			
				
针对Python MySQLdb模块使用utf-8编码插入中文数据时遇到的问题,本文将详细介绍如何在Python设置MySQL数据库表的UTF-8编码,如何在Python代码中指定连接的字符集,并且讲解在插入数据后确保数据能够正确保存到...

			
		

	





	

		

			

				
					
MySQL-python-1.2.5.win-amd64-py2.7(tested)

				
			

			

				

					03-30
				

			

		

		

			
				
MySQLdbPython编程语言中用于连接MySQL数据库的一个重要模块,它是Python的一个第三方库,使得Python开发者可以方便地在Python程序中执行SQL语句,管理MySQL数据库。标题中的"MySQL-python-1.2.5.win-amd64-py2.7...

			
		

	





	

		

			

				
					
Python 与 MySQL 进行增删改查的操作以及防止SQL注入

				
			

			

				

					Lucas在澳洲
				

				

					06-03
					
					1271
					
				

			

		

		

			
				
SQL 注入是一种常见的网络攻击方式,它的原理是通过将恶意 SQL 代码注入到应用程序中,从而获取数据库中的敏感信息。以上就是在 Python 中防止 SQL 注入的方式,通过使用占位符、参数化查询过滤输入内容等方法,我们可以有效地保护 Python 应用程序的安全性,避免 SQL 注入的发生。在使用 SQL 语句时,我们可以通过占位符的方式传递参数,从而避免 SQL 注入的风险。就是占位符,它可以将传递的参数进行处理,从而避免 SQL 注入的风险。是使用占位符的方式,可以有效地避免 SQL 注入问题。

			
		

	





	

		

			

				
					
Python防止SQL注入

				
			

			

				

					weixin_41434267的博客
				

				

					10-26
					
					716
					
				

			

		

		

			
				
注意这条sql语句

select * from goods where name=’ ’ or 1=1 or ‘1’
name = 空 但是 1确实等于1 所以 会查出所有信息
重点怎么防止SQL注入呢

让 execute 自动拼接字符串 就行了

...

			
		

	





	

		

			

				
					
python防止sql注入

				
			

			

				

					HideInTime的博客
				

				

					04-14
					
					4457
					
				

			

		

		

			
				
python中拼接动态sql的多种方式

在python中,对于这条动态sql的拼接至少存在以下四种方案

%s占位符形式

sql = "SELECT vip, coin FROM user_asset WHERE uid='%s' " % uid
cursor.execute(sql)


format形式

sql = "SELECT vip, coin FROM user_asset WHERE uid='{}' ".format(uid)
cursor.execute(sql)


f strin

			
		

	





	

		

			

				
					
python-MYSQLdb

				
			

			

				

					Cashey1991的专栏
				

				

					10-01
					
					1998
					
				

			

		

		

			
				
[源] = [http://blog.163.com/kylandzwr_39/blog/static/180285039201132193144287/]

python-MYSQLdb  





二、MySQLdb的使用。

引入我们需要的包
imp

			
		

	





	

		

			

				
					
Python 连接mysql数据库

				
			

			

				

					weixin_34297300的博客
				

				

					03-22
					
					126
					
				

			

		

		

			
				
你必须下载一个单独的DB API的模块,你需要访问的每个数据库。例如,如果你需要访问Oracle数据库以及MySQL数据库,你必须下载OracleMySQL数据库模块.DB API提供了与数据库的工作,尽可能使用Python的结构语法的最低标准。这个API包括以下:导入API模块.获取与数据库的连接.发出SQL语句存储过程.关闭连接检验MySQLdb模块是否安装成功:#...

			
		

	





	

		

			

				
					
Python安装MySQLdb

				
			

			

				

					llf_cloud的博客
				

				

					01-08
					
					203
					
				

			

		

		

			
				
Ubuntu
Python2

$ pip install MySQL-python -i https://pypi.douban.com/simple
Defaulting to user installation because normal site-packages is not writeable
Looking in indexes: https://pypi.douban.com/simple
Collecting MySQL-python
  Downloading https://pyp.

			
		

	





	

		

			

				
					
python mysqldb模块_Python学习之MySQLdb模块

				
			

			

				

					weixin_33279929的博客
				

				

					12-24
					
					243
					
				

			

		

		

			
				
摘要: MySQLdb模块用于操作mysql数据库。1.安装MySQLdb模块yum install MySQL-python -y2.操作流程①.导入模块:import MySQLdb②.连接数据库:变量名=MySQLdb.connect(user=’用户’,passwd=’密码’,host=’ip’,db=’数据库’,port=’端口’,charset=’编码’)③.创建游标:变量A=变量名....

			
		

	





	

		

			

				
					
Python 使用 MySQLdb 操作数据库

				
			

			

				

					杰森写代码
				

				

					03-24
					
					332
					
				

			

		

		

			
				
安装MySQLdb
pip install MySQLdb

安装不成功请使用离线安装方式
https://pypi.org/project/mysqlclient/#files
选择对应的Python版本
下载.whl文件
pip install mysqlclient-2.0.3-cp37-cp37m-win_amd64.whl

操作数据库
# 打开数据库连接
db = MySQLdb.connect("localhost", "root", "123456", "cnki", charset='ut

			
		

	





	

		

			

				
					
python mysqldb模块_Python MySQLdb模块

				
			

			

				

					weixin_33497944的博客
				

				

					03-01
					
					181
					
				

			

		

		

			
				
更多关于参数的信息能够查这里http://mysql-python.sourceforge.net/MySQLdb.html而后,这个链接对象也提供了对事务操做的支持,标准的方法commit() 提交rollback() 回滚3.执行sql语句接收返回值cursor=conn.cursor()n=cursor.execute(sql,param)首先,咱们用使用链接对象得到一个cursor对象,...

			
		

	





	

		

			

				
					
Python连接MySQL数据库模块MySQLdb使用指南

				
			

			

				

					
				

			

		

		

			
				
1. 安装MySQL-python模块:要使用MySQLdb模块,首先需要安装。通常情况下,可以通过Python的包管理工具pip进行安装,使用命令`pip install MySQL-python`。  2. MySQLdb模块的版本:文件标题中的版本号为1.2.3,这...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值