快捷導(dǎo)航

Python防止SQL注入攻擊的方法

更新時(shí)間：2025年07月07日 09:43:18 作者：qa浪濤

本文介紹了Python開(kāi)發(fā)中防止SQL注入攻擊,包括使用參數(shù)化查詢(xún)、利用ORM框架如Django和SQLAlchemy,確保用戶(hù)輸入的安全,感興趣的可以了解一下

在Web開(kāi)發(fā)中，SQL注入是一種常見(jiàn)的安全漏洞，攻擊者可以通過(guò)在輸入框中輸入惡意的SQL語(yǔ)句來(lái)獲取敏感數(shù)據(jù)或者破壞數(shù)據(jù)庫(kù)。Python作為一種流行的編程語(yǔ)言，在處理用戶(hù)輸入時(shí)需要特別注意防止SQL注入攻擊。本文將介紹Python中防止SQL注入攻擊的方法，并給出相應(yīng)的代碼示例。

使用參數(shù)化查詢(xún)

參數(shù)化查詢(xún)是防止SQL注入的有效方法。在Python中，可以使用數(shù)據(jù)庫(kù)模塊提供的參數(shù)化查詢(xún)方法來(lái)執(zhí)行SQL語(yǔ)句，例如使用cursor.execute()方法。

import pymysql

# 連接數(shù)據(jù)庫(kù)
conn = pymysql.connect(host='localhost', user='root', password='password', database='mydb')
cursor = conn.cursor()

# 參數(shù)化查詢(xún)
sql = "SELECT * FROM users WHERE username=%s AND password=%s"
cursor.execute(sql, (username, password))
result = cursor.fetchall()

# 關(guān)閉連接
cursor.close()
conn.close()

在上面的代碼中，我們使用了%s作為占位符，并將實(shí)際的參數(shù)傳遞給execute()方法。這樣可以防止用戶(hù)輸入的內(nèi)容被解釋為SQL語(yǔ)句的一部分。

使用ORM框架

ORM（Object-Relational Mapping）框架可以幫助開(kāi)發(fā)者避免直接拼接SQL語(yǔ)句，從而有效防止SQL注入攻擊。Python中有多種ORM框架可供選擇，例如Django的ORM、SQLAlchemy等。

from sqlalchemy import create_engine, Table, MetaData
from sqlalchemy.sql import select

# 創(chuàng)建引擎
engine = create_engine('mysql+pymysql://root:password@localhost/mydb')

# 創(chuàng)建元數(shù)據(jù)
metadata = MetaData()
users = Table('users', metadata, autoload_with=engine)

# 使用ORM查詢(xún)
stmt = select([users]).where(users.c.username == username).where(users.c.password == password)
result = engine.execute(stmt).fetchall()

在使用ORM框架時(shí)，開(kāi)發(fā)者無(wú)需直接編寫(xiě)SQL語(yǔ)句，框架會(huì)自動(dòng)處理參數(shù)化查詢(xún)，從而避免SQL注入攻擊。

輸入驗(yàn)證和過(guò)濾

除了使用參數(shù)化查詢(xún)和ORM框架外，開(kāi)發(fā)者還應(yīng)該進(jìn)行輸入驗(yàn)證和過(guò)濾，確保用戶(hù)輸入的內(nèi)容符合預(yù)期的格式和范圍。例如，可以使用正則表達(dá)式對(duì)輸入進(jìn)行驗(yàn)證，或者使用內(nèi)置的字符串處理函數(shù)對(duì)輸入進(jìn)行過(guò)濾。

import re

# 輸入驗(yàn)證
if not re.match(r'^[a-zA-Z0-9_]+$', username):
    raise ValueError('Invalid username')

# 輸入過(guò)濾
username = username.strip()

我們使用正則表達(dá)式對(duì)用戶(hù)名進(jìn)行驗(yàn)證，確保只包含字母、數(shù)字和下劃線(xiàn)。同時(shí)，使用strip()函數(shù)對(duì)輸入進(jìn)行過(guò)濾，去除首尾的空白字符。

到此這篇關(guān)于Python防止SQL注入攻擊的方法的文章就介紹到這了,更多相關(guān)Python防止SQL注入攻擊內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: