SQL注入尤其是字符串型注入尤为明显且容易,下面以登录校验为例简单介绍其原理和防御策略。
登录接口SQL
根据用户名和密码获取用户数据:
正常情况下的请求体lication/json:
所得到的SQL:
SQL注入下的请求体
此时得到的SQL将是:
成功注入的原因:
和原来的结合
后面的sql组成部分变成了注释,失去了原来的and逻辑判断作用
且永远为真
结果:
将会造成用户表所有数据的泄露
SQL注入防御
阻止SQL注入的方法主要是利用现有数据库第三方库完善的防SQL注入的特性,避免重复造轮子
原始SQL情况下
使用%s占位符,利用Py自带的防注入特性
ORM情况下
SQLAlchemy ORM已经对SQL注入进行了处理,直接使用ORM语法即可,不需要特别处理。
胜象大百科
你觉得给别人互动会增加播放量吗?
2023-01-27 22:09:28
对于来百姓来说2023什么行业最赚钱?
2023-01-27 22:24:57
绍兴仲裁委员会就申请人对被申请人装修工程承包合同纠纷进行仲裁案
2023-02-11 07:53:38
做抖音-12种账号类型包装,让IP定位事半功倍
2023-01-28 19:09:47
今年春节深圳是怎么留住人的!
2023-01-27 23:12:00
做抖音——新手做选题,怎么才能爆?
2023-01-28 19:06:27
