Jas*_*117 4 python sql-injection pymysql server-side-attacks
很抱歉在这里提问,但我找不到关于 pymysql 的安全指南关于我们如何防止 sql 注入的太多参考,当我进行 PHP 开发时,我知道使用 mysql 准备语句(或称为参数化查询或 stmt),但我在 pymysql 中找不到关于此的参考
简单的代码使用pymysql之类的
sqls="select id from tables where name=%s"
attack="jason' and 1=1"
cursor.execute(sqls,attack)
我怎么知道这是否会阻止sql注入攻击?如果阻止成功,pymysql如何阻止? cursor.execute 默认情况下是否已经使用preparedstatement?
Python 驱动程序不使用真正的查询参数。在 python 中,在attack将 SQL 发送到数据库服务器之前,参数(示例中的变量)被插入到 SQL 字符串中。
这与使用查询参数不同。在真正的参数化查询中,SQL 字符串被发送到数据库服务器,参数占位符完好无损。
但是 Python 驱动程序在插入时确实会正确地转义参数,从而防止 SQL 注入。
我打开查询日志就可以证明:
mysql> SET GLOBAL general_log=ON;
并在我运行 Python 脚本时跟踪日志:
$ tail -f /usr/local/var/mysql/bkarwin.log
...
180802 8:50:47 14 Connect root@localhost on test
14 Query SET @@session.autocommit = OFF
14 Query select id from tables where name='jason\' and 1=1'
14 Quit
您可以看到查询已将值插入其中,并且嵌入的引号字符前面有一个反斜杠,这可以防止它成为 SQL 注入向量。
我实际上是在测试 MySQL 的连接器/Python,但 pymysql 做同样的事情。
我不同意 Python 连接器的这个设计决定,以避免使用真实的查询参数(即真实的参数通过将 SQL 查询发送到带有参数占位符的数据库,并分别发送这些参数的值来工作)。风险在于程序员会认为将参数插入查询字符串的任何字符串都将与您让驱动程序执行时一样工作。
SQL注入漏洞示例:
attack="jason' and '1'='1"
sqls="select id from tables where name='%s'" % attack
cursor.execute(sqls)
日志显示这导致了 SQL 注入:
180802 8:59:30 16 Connect root@localhost on test
16 Query SET @@session.autocommit = OFF
16 Query select id from tables where name='jason' and '1'='1'
16 Quit