Django中防止SQL注入的方法


总是使用Django自带的数据库API。它会根据你所使用的数据库服务器(例如PostSQL或者MySQL)的转换规则,自动转义特殊的SQL参数。这被运用到了整个Django的数据库API中,只有一些例外:
传给 extra() 方法的 where 参数。  这个参数故意设计成可以接受原始的SQL。使用底层数据库API的查询。




## select提供简单数据

# SELECT age, (age > 18) as is_adult FROM myapp_person;

Person.objects.all().extra(select={'is_adult': "age > 18"})  # 加在select后面

## where提供查询条件

# SELECT * FROM myapp_person WHERE first||last ILIKE 'jeffrey%';

Person.objects.all().extra(where=["first||last ILIKE 'jeffrey%'"])  # 加一个where条件

## table连接其它表

# SELECT * FROM myapp_book, myapp_person WHERE last = author_last

Book.objects.all().extra(table=['myapp_person'], where=['last = author_last']) # 加from后面

## params添参数

# !! 错误的方式 !!

first_name = 'Joe'  # 如果first_name中有SQL特定字符就会出现漏洞

Person.objects.all().extra(where=["first = '%s'" % first_name])

# 正确方式

Person.objects.all().extra(where=["first = '%s'"], params=[first_name])




python中sql中注入




from pymysql import *

def main():

    find_name = input("请输入物品名称:")

    # 创建Connection连接

    conn = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')

    # 获得Cursor对象

    cs1 = conn.cursor()

    # # 非安全的方式

    # # 输入 " or 1=1 or "   (双引号也要输入)

    # sql = 'select * from goods where name="%s"' % find_name

    # print("""sql===>%s<====""" % sql)

    # # 执行select语句,并返回受影响的行数:查询所有数据

    # count = cs1.execute(sql)

    # 安全的方式

    # 构造参数列表

    params = [find_name]

    # 执行select语句,并返回受影响的行数:查询所有数据

    count = cs1.execute('select * from goods where name=%s', params)

    # 注意:

    # 如果要是有多个参数,需要进行参数化

    # 那么params = [数值1, 数值2....],此时sql语句中有多个%s即可 

    # 打印受影响的行数

    print(count)

    # 获取查询的结果

    # result = cs1.fetchone()

    result = cs1.fetchall()

    # 打印查询的结果

    print(result)

    # 关闭Cursor对象

    cs1.close()

    # 关闭Connection对象

    conn.close()

if __name__ == '__main__':

    main()




请注意在cursor.execute() 的SQL语句中使用“%s”,而不要在SQL内直接添加参数。 如果你使用这项技术,数据库基础库将会自动添加引号,同时在必要的情况下转意你的参数。


												


											
Django中的sql注入的更多相关文章
	

    
								
  1. django中安全sql注入等
		
    模拟sql注入 使用原生sql语句编写login登录逻辑 class LoginUnsafeView(View): def get(self, request): return render(requ ...
    
		
    2. 
						
  2. 在php中防止SQL注入的方法
		
    摘要:我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全.整个PH ...
    
		
    3. 
						
  3. Python中防止sql注入的方法详解
		
    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库.下面这篇文章主要给大家介绍了关于Python中 ...
    
		
    4. 
						
  4. Django csrf,xss,sql注入
		
    一.csrf跨站请求伪造(Cross-site request forgery) CSRF的攻击原理:简单说就是利用了高权限帐号(如管理员)的登录状态或者授权状态去做一些后台操作,但实际这些状态并没有 ...
    
		
    5. 
						
  5. php中防止SQL注入的方法
		
    [一.在服务器端配置] 安全,PHP代码编写是一方面,PHP的配置更是非常关键. 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最 ...
    
		
    6. 
						
  6. 转:PHP中防止SQL注入的方法
		
    [一.在服务器端配置] 安全,PHP代码编写是一方面,PHP的配置更是非常关键. 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最 ...
    
		
    7. 
						
  7. mysql基础语法及拓展到web中的sql注入
		
    本来是想写下javaweb的mvc(tomcat, spring, mysql)的搭建,  昨天搭到凌晨3点, 谁知道jdbcTemplate的jar包不好使, 想死的心都有了, 想想还是休息一下,  ...
    
		
    8. 
						
  8. ASP.NET中的SQL注入攻击与防护
		
    什么是SQL注入攻击? 它是在执行SQL查询的时候,由于接收了用户的非法参数从而导致,所执行的SQL语义与业务逻辑原本所要查询的语义不相符,从而实现的攻击. 例如我们经常使用的用户登录,通常会出现这样 ...
    
		
    9. 
						
  9. 如何使用PDO查询Mysql来避免SQL注入风险?ThinkPHP 3.1中的SQL注入漏洞分析!
		
    当我们使用传统的 mysql_connect .mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制.虽然可以用mysql_real_escape_ ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. socket AcceptAsync方法的使用
			
    AcceptAsync与Accept很大的不一样 Accept是一个同步 阻塞的已经封装好底层的方法 AcceptAsync是一个异步 非阻塞未封装的底层连接入口,需要手动填入连接代码用于优化sock ...
    
			
    2. 
						
  2. 如何妙用Spring 数据绑定机制?
			
    前言 在剖析完 「Spring Boot 统一数据格式是怎么实现的? 」文章之后,一直觉得有必要说明一下 Spring's Data Binding Mechanism 「Spring 数据绑定机制」 ...
    
			
    3. 
						
  3. mysql5.x数据库文件导入mysql5.7数据库出错解决方法
			
    由于mysql5.7 timestamp 类型不允许timestamp NOT NULL DEFAULT '0000-00-00 00:00:00',创建表的是后会报异常 修改mysql5.7的配置文 ...
    
			
    4. 
						
  4. hexo + next 搭建博客时Cannot GET /tags/问题处理
			
    原来是要修改新建的index.md文件,不仔细. 此外,愈发觉得百度和谷歌搜索同一问题的差距,谷歌更适合程序员! https://www.zhihu.com/question/29017171 这个可 ...
    
			
    5. 
						
  5. java8-详解Lamda表达式
			
    一回顾与说明     通过之前发布的"Java8Lamda和Stream原理引入"一文章中你已经了解了为什么会有Lamda表达式的由来,Lamda表达式的基本语法等:Lamda表达 ...
    
			
    6. 
						
  6. C语言笔记 07_枚举&指针
			
    emum(枚举) 枚举是 C 语言中的一种基本数据类型,它可以让数据更简洁,更易读. 枚举语法定义格式为: enum 枚举名 {枚举元素1,枚举元素2,--}; 举个例子,比如:一星期有 7 天,如果 ...
    
			
    7. 
						
  7. 12-Factor与云原生
			
    12-Factor与云原生 云原生应用 今天先到这儿,希望对技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管理,团队建设 有参考作用 , 您可能感兴趣的文章: 精益IT组织与 ...
    
			
    8. 
						
  8. deinit 没执行
			
    写了一个自定义的UIView,其中包含代理       然后设置UIViewController为此UIView的代理       结果UIViewController里的deinit没执行,导致内存 ...
    
			
    9. 
						
  9. Navicat Premium从远程Mysql数据库复制到本地数据库的方法
			
    之前做在本地测试总是先去现在下一份数据库的sql,然后再在本地建一个相同的,导入sql.然后觉得有点麻烦,现在发现了一个直接远程直接复制一份到本地的方法 工具:Navicat Premium 1.先连 ...
    
			
    10. 
						
  10. BASH Shell 文件管理
			
    BASH Shell 对文件进行管理 ========================================================创建.复制.删除.移动.查看.编辑.压缩.查找 内 ...
    
			
    11.