怎么使用Python攻击SQL数据库( 二 ) _Python

执行用户表:
Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<stdin>", line 9, in count_rowspsycopg2.errors.SyntaxError: syntax error at or near "'users'"LINE 5: 'users'该命令无法生成SQL 。数据库适配器将变量视为字符串或文字，但是表名不是普通的字符串。所以这就是SQL组合的用武之地。

现在已经知道使用字符串插值表达式来编写SQL是不安全的。幸好，Psycopg提供了一个名为Psycopg的模块。帮助我们安全地编写sql查询。让我们使用psycopg.sql()重写这个函数:
from psycopg2 import sqldef count_rows(table_name: str) -> int: with connection.cursor() as cursor: stmt = sql.SQL(""" SELECT count(*) FROM {table_name} """).format( table_name = sql.Identifier(table_name), ) cursor.execute(stmt) result = cursor.fetchone() rowcount, = result return rowcount现在有两个不同之处。首先，使用sql()来组合查询。然后，使用sql.Identifier()来注释参数值table_name 。(标识符是列或表名。)
现在，尝试执行用户表上的函数:
>>> count_rows('users')2接下来，让我们看看当表不存在时会发生什么:
>> count_rows('foo')Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<stdin>", line 11, in count_rowspsycopg2.errors.UndefinedTable: relation "foo" does not existLINE 5: "foo" 该函数抛出UndefinedTable异常。在接下来的步骤中，我们将使用这个异常来表明函数不会受到Python SQL注入攻击。
为了将它们放在一起，添加一个选项来将表中的行数计数到一定的限制，这个特性对非常大的表很有用。要实现这一点，在查询中添加一个LIMIT子句，以及LIMIT值的查询参数:
from psycopg2 import sqldef count_rows(table_name: str, limit: int) -> int: with connection.cursor() as cursor: stmt = sql.SQL(""" SELECT COUNT(*) FROM ( SELECT 1 FROM {table_name} LIMIT {limit} ) AS limit_query """).format( table_name = sql.Identifier(table_name), limit = sql.Literal(limit), ) cursor.execute(stmt) result = cursor.fetchone() rowcount, = result return rowcount在这个代码块中，使用sql.Literal()注释了limit 。与前面的示例一样，psycopg在使用时将所有查询参数绑定为文字。但是，在使用sql()时，需要使用sql.Identifier()或sql.Literal()显式地注释每个参数。
执行该功能，以确保运行正常:
>> count_rows('users', 1)1>>> count_rows('users', 10)2
运行正常，确保也是安全的:
>> count_rows("(select 1) as foo; update users set admin = true where name = 'haki'; --", 1)Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<stdin>", line 18, in count_rowspsycopg2.errors.UndefinedTable: relation "(select 1) as foo; update users set admin = true where name = '" does not existLINE 8: "(select 1) as foo; update users set adm...此返回显示psycopg转义了该值，并且数据库将其视为表名。由于不存在具有此名称的表，因此引发了UndefinedTable异常，攻击失败了
私信小编01 领取完整项目代码
结论
我们已经成功地实现了一个组成动态SQL的函数，系统面临Python SQL注入的风险也没有了!
我们在查询中既使用了字面值，又使用了标识符，没有影响安全性。

怎么使用Python攻击SQL数据库( 二 )

推荐阅读

?冯提莫家中COS提莫，意外暴露真实身高，抬腿那一刻不止一米五

光明网|西固关山降水量57.4毫米

中国医学科学院肿瘤医院|如何远离乳腺癌

Go娱美人娱|李宇春同届，超女姐妹花15年的苦涩人生：事业波折，感情挫败

钱币|盒子币成为主流乱象丛生该如何收藏盒子币

北京商报网中国戏曲文化周主场活动收官，12场云直播观看人次突破千万

人民网|韩国新增61例新冠确诊病例累计23106例

司马迁写史记的故事！司马迁的故事

纽约时报|连续两月竞选筹款落后于拜登，特朗普将办“大金主”筹款晚宴

搞笑大喇叭|蛋是跑不了的，搞笑GIF：锅：我已结网

还有谁能打败哆啦A梦吗?

贺卡内容送老师10个字贺卡内容送老师20个字

奇闻每日说|家长们要记牢！，4种食物对孩子好

墨兰空根换盆视频墨兰空根怎么办

「国青」实锤打脸！恒大小将接连爆发，01国青踢中乙真是笑话

卡哇伊天生敏感，洞察力很强的三大星座，平时总是装傻充愣

穿搭|47岁苏有朋越活越年轻，减肥瘦成筷子腿，穿白衬衫气质秒赢小鲜肉

「下营」脱贫攻坚一线见闻丨郧西“淘宝村”用上5G网络

光遇礼花先祖兑换图光遇各个先祖兑换图鉴

看不同版本的影视作品是不是存在先入为主的心理