在python中使用sqlite3注入安全参数化查询[重复]

【问题标题】:Injection safe parameterized queries with sqlite3 in python [duplicate]在python中使用sqlite3注入安全参数化查询[重复]
【发布时间】:2017-06-26 03:56:11
【问题描述】:

我一直在阅读 sqlite 的文档,发现许多来源强烈建议避免在查询中使用 python 字符串替换,因为这会使它们容易受到注入攻击:

避免:

conn.execute("SELECT * FROM %s" % table_name)

conn.execute("SELECT * FROM {}".format(table_name))

我见过几个简单的例子,像这样的字符串格式被 slqlite 参数替换:

values = ('my_table', '1')
conn.execute("SELECT * FROM ? WHERE ROWID = ?", values)

这适用于简单的情况,但当我想从列表中检索参数值时失败,如下例所示:

字符串格式的工作代码:

c.execute("BEGIN TRANSACTION")
for i in range(len(amt_l)):
    c.execute("""
              INSERT INTO transactions ({}, {}, {}, {}, {})
              VALUES ('{}', '{}', '{}', '{}', '{}')
              """.format(header[0], header[1], header[2], header[3], header[4],
                         date_l[i], party_l[i], direction_l[i], ctr_party_l[i], amt_l[i]))
db.commit()

使用参数的非工作代码:

c.execute("BEGIN TRANSACTION")
for i in range(len(amt_l)):
    values = (header[0], header[1], header[2], header[3], header[4],
              date_l[i], party_l[i], direction_l[i], ctr_party_l[i], amt_l[i])
    c.execute("""
              INSERT INTO transactions (?, ?, ?, ?, ?)
              VALUES (?, ?, ?, ?, ?)
              """, values)

有没有办法在从列表中检索参数值时,使用?在sql查询中填写参数?

【问题讨论】:

标签: python sqlite


【解决方案1】:

您可以使用绑定变量来参数化。您不能参数化列名(或表名,或其他 SQL 对象的名称)。

对这些名称使用不受信任的数据天生是不安全的 - 而且,使这成为可能会阻止预先分析(可以使用哪些索引或如何有效地执行查询) ,这是准备好的语句的一个与安全无关的好处。

【讨论】:

  • 谢谢查尔斯。我已经编写 SQL 大约一年了,但是我对在 python 中与数据库交互还比较陌生。我是否正确理解问题不在于我从列表中的值填充参数,而是我将参数用于我不允许的东西?
  • @Evan,完全正确。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2021-06-08
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2021-02-05
  • 2015-05-01
  • 2015-04-25
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode