咨询热线 :
028-86922220
×
01
关于我们

公司简介

发展历程

02
服务项目

高端网站建设

微信开发

APP开发

网络营销服务

电商网站定制

生物医药网站建设

外贸网站建设

教育培训网站建设

03
小程序开发

小程序开发

功能应用

客户案例

04
案例展示

网站建设案例

小程序案例

电商平台案例

APP案例

系统平台案例

05
建站动态

网站建设

网站设计

网站营销

小程序

06
联系我们

公司地址

人才招聘

地址:成都市太升南路288号锦天国际A幢1002号

电话:028-86922220

028-86922220

大橙子网站建设,新征程启航

为企业提供网站建设、域名注册、服务器等服务

9Python全站之路系列之MySQLSL注入-创新互联

Python全栈之路系列之MySQL SQL注入


成都创新互联公司自2013年起,是专业互联网技术服务公司,拥有项目成都网站建设、网站制作网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元张家港做网站,已为上家服务,为张家港各地企业和个人服务,联系电话:13518219792

SQL注入是一种代码注入技术,过去常常用于***数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施******等。

SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。

SQL注入是网站***中最常用的***技术,但是其实SQL注入可以用来***所有的SQL数据库。

SQL注入的实现

创建SQLdb数据库

CREATE DATABASE SQLdb;

创建user_info

CREATE TABLE `user_info` (   `id` int(11) NOT NULL AUTO_INCREMENT,   `username` varchar(32) DEFAULT NULL,   `password` varchar(32) DEFAULT NULL,   PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

插入一条用户数据

测试的用户名是ansheng,密码as

insert into user_info(username,password) values("ansheng","as");

Python代码

app.py文件

#!/usr/bin/env python # -*- coding:utf-8 -*- import tornado.ioloop import tornado.web import pymysql class LoginHandler(tornado.web.RequestHandler):     def get(self, *args, **kwargs):         self.render('login.html')     def post(self, *args, **kwargs):         username = self.get_argument('username', None)         pwd = self.get_argument('pwd', None)         conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='as', db='sqldb')         cursor = conn.cursor()         temp = "select username from user_info where username='%s' and password = '%s'" %(username, pwd,)         effect_row = cursor.execute(temp)         result = cursor.fetchone()         conn.commit()         cursor.close()         conn.close()         if result:             self.write('登录成功')         else:             self.write('登录失败')              application = tornado.web.Application([     (r"/login", LoginHandler), ]) if __name__ == "__main__":     application.listen(8888)     tornado.ioloop.IOLoop.instance().start()

HTML代码

login.htmlapp.py文件在同级

         Title               

演示效果

打开浏览器,输入地址http://127.0.0.1:8888/login

填写内容如下:

用户名:asas ' or 1 = 1-- asd
密码:随便填写一串字母

如图:

9Python全站之路系列之MySQL SL注入

当点击提交的时候是否会跳转到登陆成功页面?如果你的代码和我一样,那么就会跳转到登陆成页面

为什么出现这种问题?

出现这个问题的主要原因就是因为我们使用了字符串拼接的方式来进行SQL指令的拼接。

SQL指令拼接代码

temp = "select username from user_info where username='%s' and password = '%s'" %(username, pwd,)

这是一个正常的SQL拼接出来的结果

select username from user_info where username='ansheng' and password = 'as'

这是一个非正常的SQL拼接出来的结果

select username from user_info where username='asas' or 1 = 1  -- asd' and password = 's'

聪明的你是否已经看到其中的玄机了呢?--

如何防止?

通过Pythonpymysql模块来进行SQL的执行,在pymysql模块内部会自动把”'“(单引号做一个特殊的处理,来预防上述的错误

...... effect_row = cursor.execute("select username from user_info where username='%s' and password = '%s'", (username, pwd)) ......

#Python全栈之路 #Sql注入

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享标题:9Python全站之路系列之MySQLSL注入-创新互联
URL网址:http://dzwzjz.com/article/hsidp.html

其他资讯

分享至:
关于我们
公司简介 发展历程
服务项目
高端网站建设 小程序开发 APP开发 网络营销
建站知识
行业新闻 建站学堂 常见问题
联系我们
公司地址 人才招聘
成都 达州
电话:028-86922220
地址:成都市太升南路288号锦天国际A幢1002号
电话:028-86922220
地址:达州市南岸区弹子石腾龙大道58号2栋21-6
友情链接: 画册设计制作   消防维保   成都印刷厂   正泰动物   微信小程序开发   成都网站设计   百度推广公司   IDC机房托管   主动防护网   成都西云机房   
版权所有:青羊区大橙子信息咨询工作室 蜀ICP备2022028542号-14
在线咨询
服务热线
服务热线:028-86922220
TOP