SQL注入
SQL攻击(SQL injection),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
----维基百科
简而言之,sql注入是指在http通信中, 将sql语句伪装成参数传入服务器,服务器如果没有防范则会执行恶意sql语句,从而导致数据泄露等危险.那么如何防止sql注入呢?
ORM
象关系映射(英语:Object Relational Mapping,简称ORM),是一种程序设计技术,用于实现面向对象编程语言里不同类型系统的数据之间的转换。从效果上说,它其实是创建了一个可在编程语言里使用的“虚拟对象数据库”.
借助OO思想,数据库中的表被映射为Python的类,类的对象代表数据表中的一行记录,所有的DB操作都通过对象方法调用来实现,这些调用在底层被自动转换成SQL语句,在转换过程中,通常会采用parameter bind的方式保证生成的parameterized SQL不存在被注入的风险.
常用的orm肯定是sqlalchemy.
MySQLdb
mysqldb是常用的操作mysql的库, 导致sql注入的写法:
temp = "select name from userinfo where name='%s' and password='%s'" % (username, pwd)
effect_row = cursor.execute(temp)
这种方法直接将参数进行拼接
正确的写法是:
effect_row = cursor.execute("select name from userinfo where name='%s' and password='%s'",(username, pwd,))
通过参数的形式传入sql语句, 会将 ' 单引号进行转义
SQLAlchemy
前文说到,当使用sqlalchemy时,正常使用如:
session.query(User).filter(id == user_id)
是不会有问题的,因为orm会将sql语句进行转义,但是如果使用其execute()直接执行sql语句则还是有一定的风险的,如:
session.execute('select * from user where id = %s' % user_id).fetchall()
正确的写法:
from sqlalchemy import text
sql = 'select * from user where id = :id'
session.execute(text(sql), {'id':1}).fetchall()
通过text函数将数值通过参数的形式传入.
结尾结论: 无论何时尽量使用参数绑定的形式来构建SQL语句
