假设sql是搜索用户A的文章,sql会是这样:
select * from table where owner=‘A‘;
sql注入攻击者会修改用户名来实现攻击,例如把A 改成A‘ or 1=‘1
组合后的sql语句:
select * from table where owner=‘A‘ or 1=‘1‘;
这样就可以获取所有用户的文章
可见,sql攻击就是把部分数据内容伪造成sql语句,例如上面把 or 1=伪造成sql语句来实现攻击
而伪造的方法,就是在内容里面加入引号,所以预防sql注入的方法就是把传入的参数里面的引号进行转义,例如上面把用户名改成 A\‘ or 1=\‘1,就可以预防这样的sql攻击
引号包括单引号和双引号
python的MySQLdb模块中有专门转义的函数:
import MySQLdb def safe(s): return MySQLdb.escape_string(s)
时间: 2024-10-10 14:10:14