Django中防止SQL注入的方法


总是使用Django自带的数据库API。它会根据你所使用的数据库服务器(例如PostSQL或者MySQL)的转换规则,自动转义特殊的SQL参数。这被运用到了整个Django的数据库API中,只有一些例外:
传给 extra() 方法的 where 参数。  这个参数故意设计成可以接受原始的SQL。使用底层数据库API的查询。




## select提供简单数据

# SELECT age, (age > 18) as is_adult FROM myapp_person;

Person.objects.all().extra(select={'is_adult': "age > 18"})  # 加在select后面

## where提供查询条件

# SELECT * FROM myapp_person WHERE first||last ILIKE 'jeffrey%';

Person.objects.all().extra(where=["first||last ILIKE 'jeffrey%'"])  # 加一个where条件

## table连接其它表

# SELECT * FROM myapp_book, myapp_person WHERE last = author_last

Book.objects.all().extra(table=['myapp_person'], where=['last = author_last']) # 加from后面

## params添参数

# !! 错误的方式 !!

first_name = 'Joe'  # 如果first_name中有SQL特定字符就会出现漏洞

Person.objects.all().extra(where=["first = '%s'" % first_name])

# 正确方式

Person.objects.all().extra(where=["first = '%s'"], params=[first_name])




python中sql中注入




from pymysql import *

def main():

    find_name = input("请输入物品名称:")

    # 创建Connection连接

    conn = connect(host='localhost',port=3306,user='root',password='mysql',database='jing_dong',charset='utf8')

    # 获得Cursor对象

    cs1 = conn.cursor()

    # # 非安全的方式

    # # 输入 " or 1=1 or "   (双引号也要输入)

    # sql = 'select * from goods where name="%s"' % find_name

    # print("""sql===>%s<====""" % sql)

    # # 执行select语句,并返回受影响的行数:查询所有数据

    # count = cs1.execute(sql)

    # 安全的方式

    # 构造参数列表

    params = [find_name]

    # 执行select语句,并返回受影响的行数:查询所有数据

    count = cs1.execute('select * from goods where name=%s', params)

    # 注意:

    # 如果要是有多个参数,需要进行参数化

    # 那么params = [数值1, 数值2....],此时sql语句中有多个%s即可 

    # 打印受影响的行数

    print(count)

    # 获取查询的结果

    # result = cs1.fetchone()

    result = cs1.fetchall()

    # 打印查询的结果

    print(result)

    # 关闭Cursor对象

    cs1.close()

    # 关闭Connection对象

    conn.close()

if __name__ == '__main__':

    main()




请注意在cursor.execute() 的SQL语句中使用“%s”,而不要在SQL内直接添加参数。 如果你使用这项技术,数据库基础库将会自动添加引号,同时在必要的情况下转意你的参数。


												


											
Django中的sql注入的更多相关文章
	

    
								
  1. django中安全sql注入等
		
    模拟sql注入 使用原生sql语句编写login登录逻辑 class LoginUnsafeView(View): def get(self, request): return render(requ ...
    
		
    2. 
						
  2. 在php中防止SQL注入的方法
		
    摘要:我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全.整个PH ...
    
		
    3. 
						
  3. Python中防止sql注入的方法详解
		
    SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库.下面这篇文章主要给大家介绍了关于Python中 ...
    
		
    4. 
						
  4. Django csrf,xss,sql注入
		
    一.csrf跨站请求伪造(Cross-site request forgery) CSRF的攻击原理:简单说就是利用了高权限帐号(如管理员)的登录状态或者授权状态去做一些后台操作,但实际这些状态并没有 ...
    
		
    5. 
						
  5. php中防止SQL注入的方法
		
    [一.在服务器端配置] 安全,PHP代码编写是一方面,PHP的配置更是非常关键. 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最 ...
    
		
    6. 
						
  6. 转:PHP中防止SQL注入的方法
		
    [一.在服务器端配置] 安全,PHP代码编写是一方面,PHP的配置更是非常关键. 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最 ...
    
		
    7. 
						
  7. mysql基础语法及拓展到web中的sql注入
		
    本来是想写下javaweb的mvc(tomcat, spring, mysql)的搭建,  昨天搭到凌晨3点, 谁知道jdbcTemplate的jar包不好使, 想死的心都有了, 想想还是休息一下,  ...
    
		
    8. 
						
  8. ASP.NET中的SQL注入攻击与防护
		
    什么是SQL注入攻击? 它是在执行SQL查询的时候,由于接收了用户的非法参数从而导致,所执行的SQL语义与业务逻辑原本所要查询的语义不相符,从而实现的攻击. 例如我们经常使用的用户登录,通常会出现这样 ...
    
		
    9. 
						
  9. 如何使用PDO查询Mysql来避免SQL注入风险?ThinkPHP 3.1中的SQL注入漏洞分析!
		
    当我们使用传统的 mysql_connect .mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制.虽然可以用mysql_real_escape_ ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 【关注图像采集视频传输】之CYUSB3014  EZ-USB FX3 Software Development Kit
			
    网址:http://www.cypress.com.与之前的High Speed FX2相比,新的产品叫Super Speed  FX3,沿用了之前的命名习惯.FX2芯片内嵌一个8051核,FX3则内 ...
    
			
    2. 
						
  2. C++类成员默认初始值
			
    有时候我们会不给C++类成员变量赋初始值,或是因为忘记在构造函数中指定(C++11可以写在类内),或是觉得没有必要写.然而,因为觉得编译器会把变量赋成0而不写是错误的.本文通过C++标准来解释这个问题 ...
    
			
    3. 
						
  3. Openresty快速安装
			
    1. 场景描述 软件老王帮同事初始化服务器,需要安装下Openresty,安装过好多次,但是命令还是记不住,这次又安装记录了下,直接按下面的命令next-next就行了,2-3分钟左右就ok了. 2. ...
    
			
    4. 
						
  4. 使用t-SNE做降维可视化
			
    最近在做一个深度学习分类项目,想看看训练集数据的分布情况,但由于数据本身维度接近100,不能直观的可视化展示,所以就对降维可视化做了一些粗略的了解以便能在低维空间中近似展示高维数据的分布情况,以下内容 ...
    
			
    5. 
						
  5. JavaFX如何为按钮设置快捷键?
			
    JavaFX为按钮设置快捷键的方式有很多,先说下常见的一种. 第一种: KeyCodeCombination kc1 = new KeyCodeCombination(KeyCode.W, KeyCo ...
    
			
    6. 
						
  6. c++--语言本身
			
    c++ 面向对象概念(cout cin 类.对象 面向对象和面向过程求解问题) 易犯错误模型(引入成员函数的必要性) C语言和C++语言的关系 namespace 定义(嵌套).使用.标准命名空间st ...
    
			
    7. 
						
  7. sql手工注入1
			
    手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解 SQL 查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.查询到 ...
    
			
    8. 
						
  8. 微信小程序—支付宝小程序与微信小程序的不同点对比
			
    支付宝小程序语法 http://caibaojian.com/aliapp-wxapp.html https://www.cnblogs.com/bgwhite/p/9447639.html http ...
    
			
    9. 
						
  9. git版本控制入门--码云
			
    1.下载git:https://git-scm.com/download   2.安装过程一直点下一步即可.   3.进入刚创建的文件夹     4.在此时登录码云,创建项目.项目名称最好与文件夹名称 ...
    
			
    10. 
						
  10. phper使用MySQL 针对千万级的大表要怎么优化?
			
    有需要学习交流的友人请加入交流群的咱们一起,群内都是1-7年的开发者,希望可以一起交流,探讨PHP,swoole这块的技术 或者有其他问题 也可以问,获取swoole或者php进阶相关资料私聊管理即可 ...
    
			
    11.