SQL注入是一种常见的安全漏洞,攻击者通过在输入数据中插入恶意的SQL代码,从而执行非预期的SQL命令,以下是一个简单的SQL注入示例:
假设有一个登录表单,用户需要输入用户名和密码,后端代码可能会这样处理用户的输入:
import sqlite3
def login(username, password):
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'"
cursor.execute(query)
result = cursor.fetchone()
conn.close()
return result
在这个例子中,如果用户输入的用户名是admin,密码是' OR '1'='1,那么查询语句将变成:
SELECT * FROM users WHERE username='admin' AND password='' OR '1'='1'
由于'1'='1'总是为真,这个查询将返回所有用户的信息,包括管理员账户,这就是一个简单的SQL注入攻击。
为了防止SQL注入,可以使用参数化查询(也称为预处理语句),以下是一个使用参数化查询的改进版本:
import sqlite3
def login(username, password):
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
query = "SELECT * FROM users WHERE username=? AND password=?"
cursor.execute(query, (username, password))
result = cursor.fetchone()
conn.close()
return result
在这个版本中,?是占位符,它们将被后面的元组中的值替换,这样,即使用户输入包含恶意SQL代码,它也不会被解释为SQL命令的一部分,从而避免了SQL注入攻击。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1073058.html
微信扫一扫