起因
漏洞產(chǎn)生的原因最常見的就是字符串拼接了,當(dāng)然,sql注入并不只是拼接一種情況,還有像寬字節(jié)注入,特殊字符轉(zhuǎn)義等等很多種,這里就說說最常見的字符串拼接,這也是初級(jí)程序員最容易犯的錯(cuò)誤。
首先咱們定義一個(gè)類來處理mysql的操作
class Database:
url = '127.0.0.1'
user = 'root'
password = 'root'
db = 'testdb'
charset = 'utf8'
def __init__(self):
self.connection = MySQLdb.connect(self.url, self.user, self.password, self.db, charset=self.charset)
self.cursor = self.connection.cursor()
def insert(self, query):
try:
self.cursor.execute(query)
self.connection.commit()
except Exception, e:
print e
self.connection.rollback()
def query(self, query):
cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
cursor.execute(query)
return cursor.fetchall()
def __del__(self):
self.connection.close()
這段代碼在我之前很多腳本里面都會(huì)看見,涉及到Python操作mysql數(shù)據(jù)庫的腳本我都會(huì)寫進(jìn)去這個(gè)類,那么這個(gè)類有問題嗎?
答案是:有!
這個(gè)類是有缺陷的,很容易造成sql注入,下面就說說為何會(huì)產(chǎn)生sql注入。
為了驗(yàn)證問題的真實(shí)性,這里就寫一個(gè)方法來調(diào)用上面的那個(gè)類里面的方法,如果出現(xiàn)錯(cuò)誤會(huì)直接拋出異常。
def test_query(articleurl):
mysql = Database()
try:
querySql = "SELECT * FROM `article` WHERE url='" + articleurl + "'"
chanels = mysql.query(querySql)
return chanels
except Exception, e:
print e
這個(gè)方法非常簡(jiǎn)單,一個(gè)最常見的select查詢語句,也使用了最簡(jiǎn)單的字符串拼接組成sql語句,很明顯傳入的參數(shù) articleurl 可控,要想進(jìn)行注入測(cè)試,只需要在articleurl的值后面加上單引號(hào)即可進(jìn)行sql注入測(cè)試,這個(gè)不多說,肯定是存在注入漏洞的,腳本跑一遍,看啥結(jié)果
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
回顯報(bào)錯(cuò),很眼熟的錯(cuò)誤,這里我傳入的測(cè)試參數(shù)是
t.tips'
下面再說一種導(dǎo)致注入的情況,對(duì)上面的方法進(jìn)行稍微修改后
def test_query(articleurl):
mysql = Database()
try:
querySql = ("SELECT * FROM `article` WHERE url='%s'" % articleurl)
chanels = mysql.query(querySql)
return chanels
except Exception as e:
print e
這個(gè)方法里面沒有直接使用字符串拼接,而是使用了 %s 來代替要傳入的參數(shù),看起來是不是非常像預(yù)編譯的sql?那這種寫法能不能防止sql注入呢?測(cè)試一下便知道,回顯如下
(1064, "You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''t.tips''' at line 1")
和上面的測(cè)試結(jié)果一樣,所以這種方法也是不行的,而且這種方法并不是預(yù)編譯sql語句,那么怎么做才能防止sql注入呢?
解決
兩種方案
???? 1> 對(duì)傳入的參數(shù)進(jìn)行編碼轉(zhuǎn)義
???? 2> 使用Python的MySQLdb模塊自帶的方法
第一種方案其實(shí)在很多PHP的防注入方法里面都有,對(duì)特殊字符進(jìn)行轉(zhuǎn)義或者過濾。
第二種方案就是使用內(nèi)部方法,這里對(duì)上面的數(shù)據(jù)庫類進(jìn)行簡(jiǎn)單的修改即可。
修改后的代碼
class Database:
url = '127.0.0.1'
user = 'root'
password = 'root'
db = 'testdb'
charset = 'utf8'
def __init__(self):
self.connection = MySQLdb.connect(self.url, self.user, self.password, self.db, charset=self.charset)
self.cursor = self.connection.cursor()
def insert(self, query, params):
try:
self.cursor.execute(query, params)
self.connection.commit()
except Exception as e:
print e
self.connection.rollback()
def query(self, query, params):
cursor = self.connection.cursor(MySQLdb.cursors.DictCursor)
cursor.execute(query, params)
return cursor.fetchall()
def __del__(self):
self.connection.close()
這里 execute 執(zhí)行的時(shí)候傳入兩個(gè)參數(shù),第一個(gè)是參數(shù)化的sql語句,第二個(gè)是對(duì)應(yīng)的實(shí)際的參數(shù)值,函數(shù)內(nèi)部會(huì)對(duì)傳入的參數(shù)值進(jìn)行相應(yīng)的處理防止sql注入,實(shí)際使用的方法如下
preUpdateSql = "UPDATE `article` SET title=%s,date=%s,mainbody=%s WHERE id=%s"
mysql.insert(preUpdateSql, [title, date, content, aid])
總結(jié)
一句話就是用pythonmysqldb原生的方法,用逗號(hào)來替代分號(hào),解決sql注入的問題
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
