Python sql注入過(guò)濾字符串的非法字符實(shí)例

發(fā)布時(shí)間：2020-08-21 13:24:43 來(lái)源：腳本之家閱讀：226 作者：淋哥欄目：開(kāi)發(fā)技術(shù)

我就廢話(huà)不多說(shuō)了，還是直接看代碼吧！

#coding:utf8
#在開(kāi)發(fā)過(guò)程中，要對(duì)前端傳過(guò)來(lái)的數(shù)據(jù)進(jìn)行驗(yàn)證，防止sql注入攻擊，其中的一個(gè)方案就是過(guò)濾用戶(hù)傳過(guò)來(lái)的非法的字符


def sql_filter(sql, max_length=20):
 dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "<", ">", "+", "%", "$", "(", ")", "%", "@","!"]
 for stuff in dirty_stuff:
  sql = sql.replace(stuff, "")
 return sql[:max_length]


username = "1234567890!@#!@#!@#$%======$%"

username = sql_filter(username) # SQL注入
print username

# 輸出結(jié)果是:1234567890

補(bǔ)充知識(shí)：python解決sql注入以及特殊字符

python往數(shù)據(jù)庫(kù)插入數(shù)據(jù)，

基礎(chǔ)做法是：

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (1, '1', 'aa')"
cur.execute(sql,())

也可以這樣：

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (%s, '%s', '%s')"
sql=sql%('2','2','bb')
cur.execute(sql,())

但是當(dāng)含有特殊一點(diǎn)的字符時(shí)就有問(wèn)題了，比如單引號(hào)，%等，甚至?xí)籹ql注入。

和其他語(yǔ)言一樣，python也他的方法來(lái)解決sql注入。

cur=db.cursor()
sql = "INSERT INTO test2(cid, author, content) VALUES (%s, %s, %s)"
cur.execute(sql,('3','3','c%c'))

注意，后面2個(gè)%s的前后單引號(hào)去掉了。

結(jié)果如下：

Python sql注入過(guò)濾字符串的非法字符實(shí)例

以上這篇Python sql注入過(guò)濾字符串的非法字符實(shí)例就是小編分享給大家的全部?jī)?nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持億速云。

向AI問(wèn)一下細(xì)節(jié)

Python sql注入 過(guò)濾字符串的非法字符實(shí)例

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽

Python sql注入過(guò)濾字符串的非法字符實(shí)例