Python sql注入 過(guò)濾字符串的非法字符實(shí)例
我就廢話不多說(shuō)了,還是直接看代碼吧!
#coding:utf8#在開(kāi)發(fā)過(guò)程中,要對(duì)前端傳過(guò)來(lái)的數(shù)據(jù)進(jìn)行驗(yàn)證,防止sql注入攻擊,其中的一個(gè)方案就是過(guò)濾用戶傳過(guò)來(lái)的非法的字符def sql_filter(sql, max_length=20): dirty_stuff = [''', '', '/', '*', '’', '=', '-', '#', ';', '<', '>', '+', '%', '$', '(', ')', '%', '@','!'] for stuff in dirty_stuff: sql = sql.replace(stuff, '') return sql[:max_length]username = '1234567890!@#!@#!@#$%======$%'username = sql_filter(username) # SQL注入print username# 輸出結(jié)果是:1234567890
補(bǔ)充知識(shí):python解決sql注入以及特殊字符
python往數(shù)據(jù)庫(kù)插入數(shù)據(jù),
基礎(chǔ)做法是:
cur=db.cursor()sql = 'INSERT INTO test2(cid, author, content) VALUES (1, ’1’, ’aa’)'cur.execute(sql,())
也可以這樣:
cur=db.cursor()sql = 'INSERT INTO test2(cid, author, content) VALUES (%s, ’%s’, ’%s’)'sql=sql%(’2’,’2’,’bb’)cur.execute(sql,())
但是當(dāng)含有特殊一點(diǎn)的字符時(shí)就有問(wèn)題了,比如單引號(hào),%等,甚至?xí)籹ql注入。
和其他語(yǔ)言一樣,python也他的方法來(lái)解決sql注入。
cur=db.cursor()sql = 'INSERT INTO test2(cid, author, content) VALUES (%s, %s, %s)'cur.execute(sql,(’3’,’3’,’c%c’))
注意,后面2個(gè)%s的前后單引號(hào)去掉了。
結(jié)果如下:
以上這篇Python sql注入 過(guò)濾字符串的非法字符實(shí)例就是小編分享給大家的全部?jī)?nèi)容了,希望能給大家一個(gè)參考,也希望大家多多支持好吧啦網(wǎng)。
相關(guān)文章:
1. 詳解Android studio 動(dòng)態(tài)fragment的用法2. Android如何加載Base64編碼格式圖片3. 解決Android studio xml界面無(wú)法預(yù)覽問(wèn)題4. 圖文詳解vue中proto文件的函數(shù)調(diào)用5. 什么是python的自省6. Spring Boot和Thymeleaf整合結(jié)合JPA實(shí)現(xiàn)分頁(yè)效果(實(shí)例代碼)7. Vuex localStorage的具體使用8. php模擬實(shí)現(xiàn)斗地主發(fā)牌9. vue 使用localstorage實(shí)現(xiàn)面包屑的操作10. Vue封裝一個(gè)TodoList的案例與瀏覽器本地緩存的應(yīng)用實(shí)現(xiàn)
網(wǎng)公網(wǎng)安備