2. 程式人生 > >sql註入與防止SQL註入之參數化處理

sql註入與防止SQL註入之參數化處理

阿新 發佈:2018-11-25
NPU dict class 登錄 int 處理 where cal 執行

sql註入的兩種情況:

操作代碼:

import pymysql

user = input(用戶名: ).strip()
pwd = input(密碼: ).strip()

# 鏈接
conn = pymysql.connect(host=localhost, user=root, password=123, database=db1, charset=utf8)
# 遊標
cursor = conn.cursor()  # 執行完畢返回的結果集默認以元組顯示
# cursor=conn.cursor(cursor=pymysql.cursors.DictCursor)
 



# 執行sql語句
sql = select * from t1 where name="%s" and pwd="%s" % (user, pwd)  # 註意%s需要加引號
print(sql)
res = cursor.execute(sql)  # 執行sql語句,返回sql查詢成功的記錄數目
print(res)

cursor.close()
conn.close()

if res:
    print(登錄成功)
else:
    print(登錄失敗)

正常情況

用戶名: zj
密碼: 123
select * from t1 where name="
 
zj" and pwd="123"
1
登錄成功

sql註入 

  1、sql註入之:用戶存在,繞過密碼

用戶名: zj" -- saaa
密碼: a
select * from t1 where name="zj" -- saaa" and pwd="a"
1
登錄成功

  2、sql註入之:用戶不存在,繞過用戶與密碼

用戶名: 12e" or 1=1 -- asddas
密碼: 
select * from t1 where name="12e" or 1=1 -- asddas" and pwd=""
1
登錄成功

防止SQL註入之參數化處理

優化後的代碼

import pymysql

user 
 
= input(用戶名: ).strip()
pwd = input(密碼: ).strip()
# 打開數據庫連接
conn = pymysql.connect(host=localhost, user=root, password=123, database=db1, charset=utf8)

# 創建一個遊標對象
cursor = conn.cursor()

# 參數化處理

sql = "select * from t1 where name=%s and pwd=%s"  # 註意%s需要去掉引號,因為pymysql會自動為我們加上

print(sql)
res = cursor.execute(sql, [user, pwd])  # 執行sql語句,返回sql查詢成功的記錄數目
print("res:", res)

# 關閉遊標
cursor.close()
# 關閉數據庫
conn.close()

if res:
    print(登錄成功)
else:
    print(登錄失敗)

正確輸入

用戶名: zj
密碼: 123
select * from t1 where name=%s and pwd=%s
res: 1
登錄成功

sql註入,失敗示例

用戶名: zj" -- sad
密碼: a
select * from t1 where name=%s and pwd=%s
res: 0
登錄失敗

sql註入與防止SQL註入之參數化處理

相關推薦

sql防止SQL處理

NPU dict class 登錄 int 處理 where cal 執行 sql註入的兩種情況: 操作代碼: import pymysql user = input(‘用戶名: ‘).strip() pwd = input(‘密碼: ‘).strip() # 鏈接

PHP:測試SQL以及防止SQL

escape sca ase ouya pro sch 參與 則表達式 其中 在寫登錄註冊的時候發現了SQL和JS註入這個危害網站的用戶舉動: 測試方法: SQL註入: 1 先來做一個測試: 2 用戶名:’ or 1 # 3 密碼:隨便寫8位以上

sql注入防止sql注入

資料庫中的資料 sql程式碼 package com.zjw.jdbc2; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.

sql注入防止SQL注入引數處理

sql注入的兩種情況: 操作程式碼: import pymysql user = input('使用者名稱: ').strip() pwd = input('密碼: ').strip() # 連結 conn = pymysql.connect(host='localhost', user='ro

java處理SQL特殊字元轉義 防止sql注入

SQL特殊字元轉義 應 該說,您即使沒有處理 HTML 或 JavaScript 的特殊字元,也不會帶來災難性的後果,但是如果不在動態構造 SQL 語句時對變數中特殊字元進行處理,將可能導致程式漏洞、資料盜取、資料破壞等嚴重的安全問題。網路中有大量講解 SQL 注入的文

sqler sql 轉rest api 防止sql 注入

sqler 對於sql Sanitization 的處理,我們可以使用bind 指令 說明: 這個是2.0 的功能,注意版本的使用 參考格式  

Sql Server查詢where in和like實現詳解

blog charindex 語句 pan 建議 ack rop for 臨時表 文章導讀 拼SQL實現where in查詢 使用CHARINDEX或like實現where in 參數化 使用exec動態執行SQl實現where in 參數化 為每一個參數生成一個參數

SQL Server SQL性能優化--據庫在“簡單”模式下,自動SQL帶來的問題

參考 itl stat 數據行 img tro while 第一次 line 數據庫參數化的模式 數據庫的參數化有兩種方式,簡單(simple)和強制(forced),默認的參數化默認是“簡單”,簡單模式下,如果每次發過來的SQL,除非完全一樣

為什麽要執行SQL語句呢?

執行sql 漏洞攻擊 用戶輸入 lec bsp 參數化 查找 作用 找到 C#參數化執行SQL語句,防止漏洞攻擊本文以MYSQL為例【20151108非查詢操作】 為什麽要參數化執行SQL語句呢? 一個作用就是可以防止用戶註入漏洞。 簡單舉個列子吧。 比如賬號密碼登入,如

sql 中,如何獲取兩個日期前月、周、天數

lvs lar sbo elif bold ss5 getdate 聲明 參數 1、獲取兩個日期之間的月數、周數、天數語法 --1、獲取兩個日期之間的月數、周數、天數 --1.1)聲明參數 declare @startDate varchar(20)

ADO.NET復習總結(3)--SQL語句

輸入 net connect varchar 學生表 sap style text 執行過程 1、SQL 註入 2、使用參數化的方式,可以有效防止SQL註入,使用類parameter的實現類SqlParameter Command的屬性parameters是一個

Sql Server 的查詢

時間 技術 區別 sel from 快捷 也會 復用 name 為什麽要使用參數化查詢呢?參數化查詢寫起來看起來都麻煩,還不如用拼接sql語句來的方便快捷。當然,拼接sql語句執行查詢雖然看起來方便簡潔,其實不然。遠沒有參數化查詢來的安全和快捷。 今天剛好了解了一下

cocos2d-x學習筆記(c++lua交互回調函處理

回調函數 tolua++ cocos2dx lua 本文假設讀者已經會使用tolua++進行C++與lua之間的通訊1、在頭文件中定義註冊回調函數,定義在MyClass類中void register(unsigned short cmdID, LUA_FUNCTION func);//LUA_

[js高手路]深入淺出webpack系列1-安裝基本打包用法和命令

查看 2-2 gre colors 令行 一起 切換 json round webpack,我想大家應該都知道或者聽過,Webpack是前端一個工具,可以讓各個模塊進行加載,預處理,再進行打包。現代的前端開發很多環境都依賴webpack構建,比如vue官方就推薦使用webp

selenium+python自動化78-autoit批量上傳【轉載】

Coding fmt def all 電腦 定位 ext for alt 轉至博客:上海-悠悠 前言前一篇autoit實現文件上傳打包成.exe可執行文件後,每次只能傳固定的那個圖片,我們實際測試時候希望傳不同的圖片。這樣每次調用的時候,在命令行裏面加一個文件路徑的參數就行

C#基礎(二) 、可選命名

編譯器 line 示例 報錯 一個 傳遞 for 介紹 public   這次介紹的三個參數皆屬於語法糖。   4.數組參數    聲明方法時,在形參前加params關鍵字。簡化了參數調用,增加了可讀性。   用法:   (1)在參數為數組時使用   (2)每個方法只能有一

SqlServer腳本自動(簡單

明顯 技術分享 width app 跟蹤 計劃緩存 dbcc bsp exec 如果執行不帶參數的SQL語句,SQL Server會在內部對該語句進行參數化以增加將其與現有執行計劃相匹配的可能性。此過程稱為簡單參數化(在SQL Server 2000中,稱為自動參數

【概率論數理統計】小結9 - 估計概述

div 有時 with src for 依賴 sigma edi sim 註:在統計學的應用中,參數估計和假設檢驗是最重要的兩個方面。參數估計是利用樣本的信息,對總體的未知參數做估計。是典型的“以偏概全”。 0. 參數及參數的估計 參數

selenium+python自動化78-autoit批量上傳

sleep code 不同的 cto pda 實現 .exe 打包 del 前言 前一篇autoit實現文件上傳打包成.exe可執行文件後,每次只能傳固定的那個圖片,我們實際測試時候希望傳不同的圖片。這樣每次調用的時候,在命令行裏面加一個文件路徑的參數就行。一、命令行參數

vs 中項目 dll 一起調試和傳遞

dll1.打開 vs 創建項目2.添加項目3.配置 dll(exe的路徑)4.調試的時候倆個都最好生成一下 不然報錯 項目與 dll 之間的參數傳遞(結構體 函數指針等) 如DEBUG_EVENT 結構體 map<string, pVoidFun> (pVoidFun為函數指針)先導出一個函數實現