字符串拼接存在的SQL注入隐患

作者：手机用户2502906377 | 来源：互联网 | 2023-05-25 09:32

前面博文写到用pymysql连接MySQL数据库：#!usrbinenvpython#-*-coding:utf-8-*-importpymysql#创建连接c

前面博文写到用pymysql连接MySQL数据库&＃xff1a;

#!/usr/bin/env python # -*- coding:utf-8 -*- import pymysql # 创建连接 conn &＃61; pymysql.connect(host&＃61;&＃39;127.0.0.1&＃39;, port&＃61;3306, user&＃61;&＃39;root&＃39;, passwd&＃61;&＃39;123&＃39;, db&＃61;&＃39;t1&＃39;) # 创建游标&＃xff08;游标是用来帮你获取数据的&＃xff09; cursor &＃61; conn.cursor() # 执行SQL&＃xff0c;并返回收影响行数 effect_row &＃61; cursor.execute("update hosts set host &＃61; &＃39;1.1.1.2&＃39;") # 执行SQL&＃xff0c;并返回受影响行数 #effect_row &＃61; cursor.execute("update hosts set host &＃61; &＃39;1.1.1.2&＃39; where nid > %s", (1,)) #effect_row &＃61; cursor.execute("select username from user_info where username &＃61; &＃39;%s&＃39; password &＃61; &＃39;%s&＃39;" % (name,pwd)) # 执行SQL&＃xff0c;并返回受影响行数&＃xff08;插入多个数据&＃xff09; #effect_row &＃61; cursor.executemany("insert into hosts(host,color_id)values(%s,%s)", [("1.1.1.11",1),("1.1.1.11",2)]) # 提交&＃xff0c;不然无法保存新建或者修改的数据 conn.commit() # 关闭游标 cursor.close() # 关闭连接 conn.close()

pymysql使用的是cuosor.execute来执行SQL语句&＃xff0c;我们可能会使用字符串拼接的方式来执行SQL语句&＃xff0c;例如&＃xff1a;

temp &＃61; "select name from user_info where username &＃61; &＃39;%s&＃39; password &＃61; &＃39;%s&＃39; " % (username,password)effect_row &＃61; cursor.execute(temp)#但是如此使用就会引起SQL注入&＃xff0c;例如在用户提交表单时&＃xff0c;在用户名这一栏填入anything &＃39; or 1&＃61;1 -- d &＃xff0c;那么就可以登录到系统&＃xff0c;因为单引号被识别为账号这个字符串的 #结束&＃xff0c;那么又写入了一个或的条件判定&＃xff0c;1恒等于1&＃xff0c;必定成立。--在SQL中是注释&＃xff0c;注释掉了账号之后的所有信息&＃xff0c;所以能够‘骗’过系统&＃xff0c;登录成功。更严重的是甚至可以通 #过SQL注入对数据库进行各种操作&＃xff0c;后果不堪设想。

解决方法&＃xff1a;使用pymysql自身的字符串拼接功能&＃xff0c;不要自行拼接需要注意的是&＃xff0c;使用excute进行字符串的拼接&＃xff0c;%s不要带引号 cursor.execute("INSERT INTO interface(name,ip,mask,gateway,status) VALUE (%s,%s,%s,%s,%s)",(i[&＃39;name&＃39;], i[&＃39;IP&＃39;], i[&＃39;NETMASK&＃39;], i[&＃39;GATEWAY&＃39;], i[&＃39;STATUS&＃39;]))

推荐阅读

sum
VB.NET在线急等问题解决方法，如何统计数据库字段下的数据并显示在文本框里？

本文介绍了一个在线急等问题解决方法，即如何统计数据库中某个字段下的所有数据，并将结果显示在文本框里。作者提到了自己是一个菜鸟，希望能够得到帮助。作者使用的是ACCESS数据库，并且给出了一个例子，希望得到的结果是560。作者还提到自己已经尝试了使用"select sum(字段2) from 表名"的语句，得到的结果是650，但不知道如何得到560。希望能够得到解决方案。 ... [详细]

蜡笔小新 2023-12-13 15:15:30
数组
如何在php中将mysql查询结果赋值给变量

本文介绍了在php中将mysql查询结果赋值给变量的方法，包括从mysql表中查询count(学号)并赋值给一个变量，以及如何将sql中查询单条结果赋值给php页面的一个变量。同时还讨论了php调用mysql查询结果到变量的方法，并提供了示例代码。 ... [详细]

蜡笔小新 2023-12-12 18:22:57
get
MyBatis多表查询与动态SQL使用

本文介绍了MyBatis多表查询与动态SQL的使用方法，包括一对一查询和一对多查询。同时还介绍了动态SQL的使用，包括if标签、trim标签、where标签、set标签和foreach标签的用法。文章还提供了相关的配置信息和示例代码。 ... [详细]

蜡笔小新 2023-12-12 17:12:51
ip
基于PgpoolII的PostgreSQL集群安装与配置教程

本文介绍了基于PgpoolII的PostgreSQL集群的安装与配置教程。Pgpool-II是一个位于PostgreSQL服务器和PostgreSQL数据库客户端之间的中间件，提供了连接池、复制、负载均衡、缓存、看门狗、限制链接等功能，可以用于搭建高可用的PostgreSQL集群。文章详细介绍了通过yum安装Pgpool-II的步骤，并提供了相关的官方参考地址。 ... [详细]

蜡笔小新 2023-12-14 19:10:25
get
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
perl
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
ip
PHP中的MySQL函数库及其常用函数介绍

本文由编程笔记小编整理，介绍了PHP中的MySQL函数库及其常用函数，包括mysql_connect、mysql_error、mysql_select_db、mysql_query、mysql_affected_row、mysql_close等。希望对读者有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-14 08:19:53
ip
Oracle中tnsnames.ora的作用和配置方法

本文介绍了Oracle数据库中tnsnames.ora文件的作用和配置方法。tnsnames.ora文件在数据库启动过程中会被读取，用于解析LOCAL_LISTENER，并且与侦听无关。文章还提供了配置LOCAL_LISTENER和1522端口的示例，并展示了listener.ora文件的内容。 ... [详细]

蜡笔小新 2023-12-14 07:44:06
get
Spring特性实现接口多类的动态调用详解

本文详细介绍了如何使用Spring特性实现接口多类的动态调用。通过对Spring IoC容器的基础类BeanFactory和ApplicationContext的介绍，以及getBeansOfType方法的应用，解决了在实际工作中遇到的接口及多个实现类的问题。同时，文章还提到了SPI使用的不便之处，并介绍了借助ApplicationContext实现需求的方法。阅读本文，你将了解到Spring特性的实现原理和实际应用方式。 ... [详细]

蜡笔小新 2023-12-14 03:24:19
java
Java String与StringBuffer的区别及其应用场景

本文主要介绍了Java中String和StringBuffer的区别，String是不可变的，而StringBuffer是可变的。StringBuffer在进行字符串处理时不生成新的对象，内存使用上要优于String类。因此，在需要频繁对字符串进行修改的情况下，使用StringBuffer更加适合。同时，文章还介绍了String和StringBuffer的应用场景。 ... [详细]

蜡笔小新 2023-12-13 19:21:06
get
ASP.NET Tips: 获取插入记录的ID的方法详解

本文详细介绍了在ASP.NET中获取插入记录的ID的几种方法，包括使用SCOPE_IDENTITY()和IDENT_CURRENT()函数，以及通过ExecuteReader方法执行SQL语句获取ID的步骤。同时，还提供了使用这些方法的示例代码和注意事项。对于需要获取表中最后一个插入操作所产生的ID或马上使用刚插入的新记录ID的开发者来说，本文提供了一些有用的技巧和建议。 ... [详细]

蜡笔小新 2023-12-13 17:03:18
jsp
高质量SQL书写的30条建议

本文提供了30条关于优化SQL的建议，包括避免使用select *，使用具体字段，以及使用limit 1等。这些建议是基于实际开发经验总结出来的，旨在帮助读者优化SQL查询。 ... [详细]

蜡笔小新 2023-12-13 13:24:33
jsp
延迟注入工具（python）的SQL脚本

本文介绍了一个延迟注入工具（python）的SQL脚本，包括使用urllib2、time、socket、threading、requests等模块实现延迟注入的方法。该工具可以通过构造特定的URL来进行注入测试，并通过延迟时间来判断注入是否成功。 ... [详细]

蜡笔小新 2023-12-12 10:36:42
jsp
移动端常用单位——rem的使用方法和注意事项

本文介绍了移动端常用的单位rem的使用方法和注意事项，包括px、%、em、vw、vh等其他常用单位的比较。同时还介绍了如何通过JS获取视口宽度并动态调整rem的值，以适应不同设备的屏幕大小。此外，还提到了rem目前在移动端的主流地位。 ... [详细]

蜡笔小新 2023-12-12 07:20:50
go
数据库的存储结构及其重要性

本文介绍了数据库的存储结构及其重要性，强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离，可以实现对物理存储的重新组织和数据库的迁移，而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构，并介绍了表空间的概念和作用。 ... [详细]

蜡笔小新 2023-12-14 16:00:02

手机用户2502906377

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章