Python 之 MySql“未解之谜”16 -- sql 注入的风险

 

一、Python 使用 Mysql

1、Python 代码：

2、Python 输出结果：

3、分析

① 当用户名和密码正确时，发现可以正常打印字段数据

② 当用户名或密码错误时，输出“账号或密码错误”

③ 当用户名输入"python -- Python大星到此一游"，密码为空，仍然可以正常打印数据

④ 当用户名输入"**** or 1 = 1 -- Python大星到此一游"，密码为空，打印了所有用户信息

其中第 ③ 和 ④ 条就是由于 加上 -- 注释 ，sql 注入导致的

4、优化

execute可以自动识别sql语句中的 %s ，它可以帮助你过滤特殊的字符,避免sql注入的问题

二、如何防止 sql 注入

1、永远不要信任用户的输入

对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双 - 进行转换等。

2、 永远不要使用动态拼装 sql

可以使用参数化的 sql 或者直接使用存储过程进行数据查询存取

3、永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接

4、不要把机密信息直接存放

加密或者 hash 掉密码和敏感的信息

5、应用的异常信息应该给出尽可能少的提示

最好使用自定义的错误信息对原始错误信息进行包装

>>>Python 之 MySql“未解之谜”15--DDL、DML、DCL和TCL都是啥？