Python如何防备sql注入

媒介

web裂痕之首莫过于sql了，不管利用哪种语言举办web后端开拓，只要利用了干系型数据库，大概城市碰着sql注入进攻问题。那么在Python web开拓的进程中sql注入是怎么呈现的呢，又是怎么去办理这个问题的？

虽然，我这里并不想接头其他语言是如何制止sql注入的，网上关于PHP防注入的各类要领都有，Python的要领其实雷同，这里我就举例来说说。

起因

裂痕发生的原因最常见的就是字符串拼接了，虽然，sql注入并不可是拼接一种环境，尚有像宽字节注入，非凡字符转义等等许多种，这里就说说最常见的字符串拼接，这也是低级措施员最容易犯的错误。

首先咱们界说一个类来处理惩罚mysql的操纵

class Database:
    hostname = '127.0.0.1'
    user = 'root'
    password = 'root'
    db = 'pythontab'
    charset = 'utf8'
    def __init__(self):
        self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset)
        self.cursor = self.connection.cursor()
    def insert(self, query):
        try:
            self.cursor.execute(query)
            self.connection.commit()
        except Exception, e:
            print e
            self.connection.rollback()
    def query(self, query):
        cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
        cursor.execute(query)
        return cursor.fetchall()
    def __del__(self):
        self.connection.close()

这个类有问题吗？

谜底是：有！

这个类是有缺陷的，很容易造成sql注入，下面就说说为何会发生sql注入。

为了验证问题的真实性，这里就写一个要领来挪用上面的谁人类内里的要领，假如呈现错误会直接抛出异常。

def test_query(testUrl):
    mysql = Database()
    try:
        querySql = "SELECT * FROM `article` WHERE url='" + testUrl + "'"
        chanels = mysql.query(querySql)
        return chanels
    except Exception, e:
        print e

这个要领很是简朴，一个最常见的select查询语句，也利用了最简朴的字符串拼接构成sql语句，很明明传入的参数 testUrl 可控，要想举办注入测试，只需要在testUrl的值后头加上单引号即可举办sql注入测试，这个不多说，必定是存在注入裂痕的，剧本跑一遍，看啥功效

(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")

回显报错，很眼熟的错误，这里我传入的测试参数是

t.tips'

下面再说一种导致注入的环境，对上面的要领举办稍微修改后

def test_query(testUrl):
    mysql = Database()
    try:
        querySql = ("SELECT * FROM `article` WHERE url='%s'" % testUrl)
        chanels = mysql.query(querySql)
        return chanels
    except Exception, e:
        print e

这个要领内里没有直接利用字符串拼接，而是利用了 %s 来取代要传入的参数，看起来是不长短常像预编译的sql？那这种写法能不能防备sql注入呢？测试一下便知道，回显如下

(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")

和上面的测试功效一样，所以这种要领也是不可的，并且这种要领并不是预编译sql语句，那么怎么做才气防备sql注入呢？

办理

两种方案

1> 对传入的参数举办编码转义

2> 利用Python的MySQLdb模块自带的要领

第一种方案其实在许多PHP的防注入要领内里都有，对非凡字符举办转义可能过滤。

第二种方案就是利用内部要领，雷同于PHP内里的PDO，这里对上面的数据库类举办简朴的修改即可。

#p#分页标题#e#

修改后的代码

class Database:
    hostname = '127.0.0.1'
    user = 'root'
    password = 'root'
    db = 'pythontab'
    charset = 'utf8'
    def __init__(self):
        self.connection = MySQLdb.connect(self.hostname, self.user, self.password, self.db, charset=self.charset)
        self.cursor = self.connection.cursor()
    def insert(self, query, params):
        try:
            self.cursor.execute(query, params)
            self.connection.commit()
        except Exception, e:
            print e
            self.connection.rollback()
    def query(self, query, params):
        cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
        cursor.execute(query, params)
        return cursor.fetchall()
    def __del__(self):
        self.connection.close()

这里 execute 执行的时候传入两个参数，第一个是参数化的sql语句，第二个是对应的实际的参数值，函数内部会对传入的参数值举办相应的处理惩罚防备sql注入，实际利用的要领如下

preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"

mysql.insert(preUpdateSql, [title, date, content, aid])

这样就可以防备sql注入，传入一个列表之后，MySQLdb模块内部会将列表序列化成一个元组，然后举办escape操纵。