Python sql注入 过滤字符串的非法字符实例
更新时间:2020年04月03日 09:47:02 作者:淋哥
这篇文章主要介绍了Python sql注入 过滤字符串的非法字符实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
我就废话不多说了,还是直接看代码吧!
#coding:utf8 #在开发过程中,要对前端传过来的数据进行验证,防止sql注入攻击,其中的一个方案就是过滤用户传过来的非法的字符 def sql_filter(sql, max_length=20): dirty_stuff = ["\"", "\\", "/", "*", "'", "=", "-", "#", ";", "<", ">", "+", "%", "$", "(", ")", "%", "@","!"] for stuff in dirty_stuff: sql = sql.replace(stuff, "") return sql[:max_length] username = "1234567890!@#!@#!@#$%======$%" username = sql_filter(username) # SQL注入 print username # 输出结果是:1234567890
补充知识:python解决sql注入以及特殊字符
python往数据库插入数据,
基础做法是:
cur=db.cursor() sql = "INSERT INTO test2(cid, author, content) VALUES (1, '1', 'aa')" cur.execute(sql,())
也可以这样:
cur=db.cursor() sql = "INSERT INTO test2(cid, author, content) VALUES (%s, '%s', '%s')" sql=sql%('2','2','bb') cur.execute(sql,())
但是当含有特殊一点的字符时就有问题了,比如单引号,%等,甚至会被sql注入。
和其他语言一样,python也他的方法来解决sql注入。
cur=db.cursor() sql = "INSERT INTO test2(cid, author, content) VALUES (%s, %s, %s)" cur.execute(sql,('3','3','c%c'))
注意,后面2个%s的前后单引号去掉了。
结果如下:
以上这篇Python sql注入 过滤字符串的非法字符实例就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
python3中的logging记录日志实现过程及封装成类的操作
这篇文章主要介绍了python3中的logging记录日志实现过程及封装成类的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-05-05python使用typing模块加强代码的可读性(实战演示)
Python是一门弱类型的语言,很多时候我们可能不清楚函数参数类型或者返回值类型,很有可能导致一些类型没有指定方法,typing模块可以很好的解决这个问题。下面通过本文给大家介绍python使用typing模块加强代码的可读性,感兴趣的朋友一起看看吧2021-12-12python中isdigit() isalpha()用于判断字符串的类型问题
这篇文章主要介绍了python中isdigit() isalpha()用于判断字符串的类型问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2022-11-11
最新评论