pythonsql注入_python使用mysql,sql注入問題

python使用mysql

importpymysql

conn=pymysql.connect(

host= '127.0.0.1', #連接地址

port = 3306, #端口

user = root, #用戶名

password = '', #密碼

database = 'db', #庫名稱

charset = 'utf8' #編碼格式 utf8,不是utf-8

)

cursor= conn.cursor(pymsql.cursors.DictCursor) #產生一個游標,以字典的形式返回查詢出來的數據,鍵是表的字段,值是表字段對應的信息

sql = select * from userinfo #寫sql語句

cursor.execute(sql) #執行傳入的sql語句

print(cursor.fetchone()) #拿到表中一條數據

print(cursor.fetchone())print(cursor.fetchone())

cursor.scroll(1,'absolute') #absolute絕對移動,前面數字寫幾,就相對于起始位置向后移動幾位

cursor.srcoll(1,'relative') #relative相對移動,前面寫幾,就相對于當前位置向后移動幾位

print(cursor.fetchall()) #拿到表中所有的數據

sql注入問題

conn =pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

username= input('請輸入用戶名:')

password= input('請輸入密碼:')

sql= "select * from userinfo where name = '%s' and password ='%s'" %s(username, password)

res=cursor.execute(sql)ifres:print(cursor.fetchall())else:print('賬號或密碼錯誤')

我們用上述一段代碼詮釋一下sql注入的問題, 當我們輸入正確的賬號密碼的時候,發現可以正常打印字段數據,當我們輸入錯誤賬號或密碼時,就顯示賬號密碼錯誤

以我們只知道用戶名為例

竟然查到了用戶的所有信息,這個是根據 -- 注釋做到的sql注入

假如我們賬號密碼都不知道,那么如何用sql注入去獲取網站的用戶信息呢

在我們對賬號密碼毫不知情的情況下,我們使用or判斷條件的成立,再加上 --注釋,可以獲取到網站所有的用戶信息

根據以上兩個問題我們應該如何解決呢?

conn =pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

username= input('請輸入用戶名:')

password= input('請輸入密碼:')

sql= "select * from userinfo where name = %s and password =%s"res=cursor.execute(sql,(username,password)) # execute可以自動識別sql語句中的%s,它可以幫助你過濾特殊的字符,避免sql注入的問題ifres:print(cursor.fetchall())else:print('賬號或密碼錯誤')

總結:

1.sql注入,就是利用注釋等具有特殊意義的符號,來完成的

2.后續寫sql語句時,不要手動去拼接關鍵性的數據,而是交由execute去拼接

python對mysql的增,改,刪操作

importpymysql

conn=pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

sql= "insert into user(name,password) values('wu','123')" #插入,增

cursor.execute(sql)

conn.commit() 在新增時要寫conn.commit()

importpymysql

conn=pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

sql= "update user set name='qazqaz' where id = 1" #修改

cursor.execute(sql)

conn.commit() #在修改時要寫conn.commit()

importpymysql

conn=pymysql.connect(

host= '127.0.0.1',

port= 3306,

user=root,

password= '',

database= 'db',

charset= 'utf8')

cursor=conn.cursor(pymsql.cursors.DictCursor)

sql= "delete from user where id = 1" #刪除

cursor.execute(sql)

conn.commit()#在刪除時要寫conn.commit()

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/534014.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/534014.shtml
英文地址，請注明出處：http://en.pswp.cn/news/534014.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！