python sql 防注入

原创

mob649e81684ddc 2024-09-04 05:27:09 ©著作权

文章标签 SQL ORM 用户名 文章分类 Python 后端开发

©著作权归作者所有：来自51CTO博客作者mob649e81684ddc的原创作品，请联系作者获取转载授权，否则将追究法律责任

Python SQL 防注入：保护你的数据库安全

在现代开发中，数据库几乎是每个应用程序的核心组成部分。但是，安全问题也随之而来，其中最普遍的攻击手段就是 SQL 注入。本文将探讨什么是 SQL 注入、其危害以及如何利用 Python 进行有效的防护。

什么是 SQL 注入？

SQL 注入攻击是指攻击者通过修改原本的 SQL 查询语句，将恶意代码注入到数据库中，从而获取未授权的数据或进行数据操作。这种攻击通常发生在应用程序没有对用户输入进行适当的验证和处理时。

SQL 注入示例

假设我们有一个简单的用户登录功能，用户输入用户名和密码：

username = input("请输入用户名：")
password = input("请输入密码：")

query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}';"

在这种情况下，如果攻击者输入用户名为 "admin' --"，那么生成的 SQL 查询将会变成：

SELECT * FROM users WHERE username='admin' -- ' AND password='密码';

上面的查询将直接注释掉了密码检查，导致攻击者能够不输入密码就获取到管理员账户。

SQL 注入的危害

SQL 注入的危害非常大，可能导致：

数据泄露：攻击者可以获取敏感信息，如用户账户和密码。
数据篡改：攻击者可以更改、删除或者插入数据。
控制服务器：如果攻击者能够执行任意 SQL 命令，可能还会在数据库服务器上执行恶意代码。

使用 Python 防止 SQL 注入

为了防止 SQL 注入，推荐使用参数化查询。这种方法能够有效地隔离 SQL 查询和用户输入，使得用户输入不能被解释为 SQL 代码。

参数化查询示例

使用 Python 中的 sqlite3 库，参数化查询的代码如下：

import sqlite3

# 连接到数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 用户输入
username = input("请输入用户名：")
password = input("请输入密码：")

# 使用参数化查询防止 SQL 注入
cursor.execute("SELECT * FROM users WHERE username=? AND password=?", (username, password))
results = cursor.fetchall()

# 关闭连接
cursor.close()
conn.close()

在这个例子中，我们使用 ? 占位符来替代用户输入的值，这样数据库能够将其视为数据而不是代码，从而防止 SQL 注入。

推荐使用 ORM

使用对象关系映射（ORM）库如 SQLAlchemy 或 Django ORM，不仅能增强代码的可读性，还有助于进一步减少 SQL 注入的风险。下面是 SQLAlchemy 的简单示例：

from sqlalchemy import create_engine, Column, Integer, String
from sqlalchemy.ext.declarative import declarative_base
from sqlalchemy.orm import sessionmaker

Base = declarative_base()
engine = create_engine('sqlite:///example.db')
Session = sessionmaker(bind=engine)
session = Session()

class User(Base):
    __tablename__ = 'users'
    
    id = Column(Integer, primary_key=True)
    username = Column(String)
    password = Column(String)

# 用户输入
username = input("请输入用户名：")
password = input("请输入密码：")

# ORM 查询
user = session.query(User).filter_by(username=username, password=password).first()

# 关闭连接
session.close()

在这个 ORM 示例中，开发者无需直接手动构造 SQL 语句，ORM 自动处理参数的转义和安全性。

序列图示例

下面是一个序列图，展示了 SQL 查询的处理过程。

sequenceDiagram
    participant User
    participant App
    participant Database

    User->>App: 输入用户名和密码
    App->>Database: 使用参数化查询
    Database-->>App: 返回查询结果
    App-->>User: 显示结果