这个 python/mysql 查询是否容易受到 SQL 注入的影响

Question

我目前正在审查某人的代码，我遇到了以下 Python 行：

db.query('''SELECT foo FROM bar WHERE id = %r''' % id)

这违背了我的常识，因为我通常会选择使用准备好的语句，或者至少使用数据库系统的原生字符串转义函数。

但是，我仍然很好奇如何利用它，因为：

1. “id”值是最终用户/渗透测试者提供的字符串或数字
2. 这是 MySQL
3. 连接已明确设置为使用 UTF8。

Answer 1

MySQL 的 Python 驱动程序不支持真正的预处理语句。他们都做某种形式的字符串插值。诀窍是让 Python 通过适当的转义来进行字符串插值。

查看不安全操作的演示：How do PyMySQL prevent user from sql injection attack?

模拟参数的常规解决方案如下：

sql = "SELECT foo FROM bar WHERE id = %s"
cursor.execute(sql, (id,))

见https://dev.mysql.com/doc/connector-python/en/connector-python-api-mysqlcursor-execute.html

---

我知道克服转义的唯一方法（正确完成时）是：

• 利用 GBK 或 SJIS 或类似字符集，其中转义的引号成为多字节字符的一部分。通过确保set names utf8，您应该可以避免此问题。
• 更改sql_mode 以中断转义，例如启用NO_BACKSLASH_ESCAPES 或ANSI_QUOTES。您应该在会话开始时设置sql_mode，类似于设置名称的方式。这将确保它没有使用导致问题的全局更改的 sql_mode。

另见Is "mysqli_real_escape_string" enough to avoid SQL injection or other SQL attacks?