什么是Python SQL注入以及如何防止注入
如何使用文字和标识符作为参数组合查询
如何安全地执行数据库中的查询
文章演示的操作适用于所有数据库,这里的示例使用的是PG,但是效果跟过程可以在其他数据库(例如SQLite,MySQL,Oracle等等系统中)重现
1. 了解Python SQL注入
SQL注入攻击是一种常见的安全漏洞。在我们日常工作中生成和执行SQL查询也同样是一项常见的任务。但是,有时候在编写SQL语句时常常会犯下可怕错误
当我们使用Python将这些查询直接执行到数据库中时,很可能会损害到系统。所以如何成功实现组成动态SQL查询的函数,而又不会使系统遭受Python SQL注入的威胁呢?
2. 设置数据库
首先,建立一个新的PostgreSQL数据库并用数据填充它。在文章中,将使用该数据库直接见证Python SQL注入的工作方式及基本操作
2.1 创建数据库
打开你的shell工具并创建一个用户拥有的新PostgreSQL数据库:
$ createdb -O postgres psycopgtest
在这里,使用了命令行选项-O将数据库的所有者设置为用户postgres。还指定了数据库的名称psycopgtest
postgres是一个特殊用户,通常将保留该用户用于管理任务,但是对于本文章而言,可以使用postgres。但是,在实际系统中,应该创建一个单独的用户作为数据库的所有者
新数据库已准备就绪!现在我们连接它
版权声明:本文为CSDN博主「似繁星跌入梦」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qiulin_wu/article/details/106216595
————————————————
版权声明:本文为CSDN博主「似繁星跌入梦」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qiulin_wu/article/details/106216595