防止 django 表单中的 SQL 注入

Question

我用它来验证：

class MyValidationForm(forms.Form):
  title = forms.CharField()
  body = forms.Textarea()
  taxonomy = forms.IntegerField()

这是我基于类的视图：

class blog_createpost(dashboardBaseViews):

 template_name = "dashboardtems/blog_createpost.html"

 model = {}

 def post(self, request, *args, **kwargs):

    form = MyValidationForm(request.POST)

    if not form.is_valid():
        return HttpResponse("not valid")


    new_data = post(title=request.POST['title'],
                    body=request.POST['body'],
                    description=request.POST['description'],
                    taxonomy=get_object_or_404(taxonomy, 
                       pk=request.POST['taxonomy']),
                    writer=request.user)
    new_data.save()
    return HttpResponse("done")

就像你看到的那样，我在这一行检查了我收到的请求验证：if not form.is_valid(): 及其工作，但是当我在表单输入中添加一些 SQL-command 时。它不会阻止在数据库中插入值！.. 意味着我在数据库中有一个字段，其中包含一些值，例如select * from user where 1=1!。 它不会导致用户输入的 sql 注入危险吗？...

Answer 1

您误解了 SQL 注入 的含义。 Django 已成功保护您免受此类攻击，字符串"select * from user where 1=1" 被视为数据，而不是命令，并最终成为数据库中的值。

SQL 注入攻击会改变数据库正在执行的 SQL。成功的攻击会诱使数据库将数据作为命令执行。您最终不会将 select * from user where 1=1 作为一个值，而是最终让攻击者可以访问 user 表中的所有结果。

一个典型的错误是没有通过将 SQL 命令构造为字符串来正确转义数据。假设服务器使用以下查询来查找当前用户的数据：

SELECT * FROM user WHERE username='$user_id'

$user_id 来自请求。通常那是一个登录名，比如说

user_id = "zopatista"

所以查询变成了

SELECT * FROM user WHERE username='zopatista'

如果服务器没有防范SQL注入攻击，攻击者可以替换user_id并注入更多的SQL命令：

user_id = "zopatista' OR 1=1 -- "

所以在简单地将该字符串插入到查询中之后，现在服务器会将以下 SQL 发送到数据库：

SELECT * FROM user WHERE username='zopatista' OR 1=1 -- '

突然查询命令的含义发生了变化，数据库将返回所有行，而不是只返回与登录名匹配的一行。

classic XKCD joke on SQL injection 更进一步，注入了 删除整个表的 SQL 代码，而不是尝试访问更多信息。

防止 SQL 注入的服务器将确保用户提供的数据始终参数化，将数据与查询分开发送到数据库驱动程序，以确保它永远不会被视为查询。

只要您使用 Django 的模型和查询集，您就可以免受 SQL 注入攻击。只有将extra() 或RawSQL() 与用户数据混合而不使用它们的参数功能，您才会面临风险。