【发布时间】:2012-11-16 18:34:57
【问题描述】:
正如标题所示,我想知道这段代码是否容易受到 SQL 注入的攻击?如果是这样,是否有更好、更安全的方法来实现同样的目标?
def add(table,*args):
statement="INSERT INTO %s VALUES %s" % (table,args)
cursor.execute(statement)
【问题讨论】:
标签: python sql security sqlite
【发布时间】:2012-11-16 18:34:57
【问题描述】:
是的,是的。使用这样的东西来防止它:
cursor.execute("INSERT INTO table VALUES ?", args)
请注意,您不能像这样输入表格。理想情况下,表格应该是硬编码的,在任何情况下都不应该来自任何类型的用户输入。您可以使用类似于您对表格所做的字符串,但您最好 100% 确定用户无法以某种方式更改它...有关更多详细信息,请参阅Can I use parameters for the table name in sqlite3?。
本质上,您希望将参数放在游标命令中,因为它可以确保数据数据库安全。使用您的第一个命令,创建一个特殊的table 或args 将一些不安全的东西放入您的SQL 代码中会相对容易。请参阅 python pages 和引用的 http://xkcd.com/327/ 。具体来说,python页面引用:
通常,您的 SQL 操作需要使用 Python 中的值 变量。你不应该使用 Python 的字符串来组装你的查询 操作,因为这样做是不安全的;它使您的程序 容易受到 SQL 注入攻击(请参阅http://xkcd.com/327/ 可能出错的幽默例子)。
改为使用 DB-API 的参数替换。放 ?作为一个 占位符,无论你想在哪里使用一个值,然后提供一个元组 值作为游标的 execute() 方法的第二个参数。 (其他数据库模块可能使用不同的占位符,例如 %s 或 :1.)
基本上,有人可以设置一个执行另一个命令的参数,如下所示:
args="name; DELETE table"
使用 cursor.execute 将填充给定的值,以便参数可以列出,并且当您对其进行查询时,这正是您将得到的。 XKCD 也幽默地解释了这一点。
【讨论】:
-
谢谢。你能稍微解释一下它为什么容易受到攻击吗?
-
这可能很明显,但为了安全起见:对所有语句执行此操作,而不仅仅是 INSERT。 SELECT 语句同样容易受到攻击。
-
5 个赞,被接受,没有人愿意检查? (stackoverflow.com/questions/5870284/…)
-
在提供相同的输入(表、参数)字符串的情况下,您能否更详细地解释为什么/如何使用参数 (?) 不会返回与 (%s) 相同的可执行 SQL 代码?跨度>
-
@RyanDalton:使用参数意味着 sqlite3(或您的其他数据库库)可以根据需要绑定参数。它可能只是确保所有内容都被正确引用和转义(可能使用特定于该 DBMS 的功能,否则您很难做到正确)。或者它可能在将 SQL 语句解析为内部格式后实际绑定参数(这可能更快,也更安全)。关键是,任何数据库接口都需要对参数做一些安全的事情,而对于字符串,你必须自己弄清楚并做同样的事情(并且会做错)。