防止SQL注入的核心是避免拼接SQL,应使用参数化查询或ORM框架,辅以输入验证和最小权限原则。例如,SQLite和MySQL支持占位符传递用户数据,SQLAlchemy等ORM自动防注入;同时需校验输入格式、长度,限制数据库账户权限,并隐藏敏感错误信息,确保安全编码。
防止SQL注入是Python网页开发中必须重视的安全问题,尤其是在使用数据库交互的应用中。关键在于避免将用户输入直接拼接到SQL语句中。以下是几种实用且有效的防护方法。
参数化查询是最基本也是最有效的防止SQL注入的手段。它通过占位符传递用户输入,使数据库引擎区分代码与数据。
以sqlite3和MySQL为例:
SQLite 示例:
立即学习“Python免费学习笔记(深入)”;
import sqlite3
<p>conn = sqlite3.connect("example.db")
cursor = conn.cursor()</p><h1>正确方式:使用参数化</h1><p>username = input("请输入用户名:")
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))</p><h1>错误方式:字符串拼接(危险!)</h1><h1>cursor.execute(f"SELECT * FROM users WHERE username = '{username}'")</h1>MySQL 示例(使用 mysql-connector-python):
import mysql.connector
<p>conn = mysql.connector.connect(user='root', password='pwd', database='test')
cursor = conn.cursor()</p><h1>使用 %s 占位符</h1><p>cursor.execute("SELECT * FROM users WHERE email = %s", (email,))</p>ORM(对象关系映射)框架自动处理SQL生成,天然具备防注入能力。开发者操作的是对象而非原始SQL语句。
SQLAlchemy 示例:
from sqlalchemy.orm import sessionmaker from models import User # 假设已定义User模型 <p>Session = sessionmaker(bind=engine) session = Session()</p><h1>安全查询,不会产生SQL注入</h1><p>user = session.query(User).filter(User.username == username).first()</p>
只要不手动拼接SQL或使用text()包装恶意字符串,SQLAlchemy 能有效规避风险。
即使使用了参数化查询,也建议对用户输入做基础校验,降低攻击面。
例如:
import re
<p>def is_valid<em>username(username):
return re.match(r"^[a-zA-Z0-9</em>]{3,30}$", username) is not None</p>数据库账户应遵循最小权限原则。Web应用使用的数据库账号不应拥有DROP、ALTER等高危权限。
同时,避免向用户暴露原始数据库错误信息,防止泄露结构细节。
正确做法:
基本上就这些。核心是绝不拼接SQL,坚持使用参数化或ORM,再辅以输入校验和权限控制,就能有效抵御SQL注入攻击。安全编码习惯比任何工具都重要。不复杂但容易忽略。
以上就是Python网页版如何防止SQL注入_Python网页版SQL注入防护与安全编码方法的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
996
收藏
