Wie kann ich verhindern, dass SQL-injection in PYTHON-DJANGO?

Wenn ein lamer Eingang ist eingefügt in eine SQL-Abfrage direkt, die Anwendung ist anfällig für SQL-injection, wie im folgenden Beispiel:

dinossauro = request.GET['username']

sql = "SELECT * FROM user_contacts WHERE username = '%s';" % username

Drop Tabellen oder nichts-macht die Abfrage:

INSERT INTO table (column) VALUES('`**`value'); DROP TABLE table;--`**`')

Was kann man tun, um dies zu verhindern?

  • Darf ich Sie Fragen, warum sind Sie manuell schreiben von sql-Abfragen anstelle von django-Modelle?
  • Die django-ORM, außerhalb der raw und extra entgeht Ihrer Fragen für Sie. Siehe die Sicherheits-docs.
InformationsquelleAutor Jayron Soares | 2013-12-09
  1. 8

    Zuerst sollte man wohl nur verwenden,Django ORM, es wird verhindert, dass jede Möglichkeit von SQL-injection.

    Wenn aus irgendeinem Grund Sie nicht können oder nicht wollen, dann sollten Sie Python-Datenbank-API. Hier ist die Art, wie Sie normalerweise tun, dass in Django:

    from django.db import connection

cursor = connection.cursor()
cursor.execute('insert into table (column) values (%s)', (dinosaur,))
cursor.close()

    Können Sie auch praktisch, python-Paket zur Reduzierung der boilerplate:

    from handy.db import do_sql

do_sql('insert into table (column) values (%s)', (dinosaur,))
    InformationsquelleAutor Suor
  2. 3

    Wenn Sie .extra() die syntax ist:

    YourModel.objects.extra(where=['title LIKE %s'], params=['%123%321%'])

    Hier zu wiederholen, von diese Antwort wie diese ist schwer zu finden, und die docs sagen, dass "you should always be careful to properly escape any parameters" gehen Sie nicht auf zu sagen wie richtig zu entfliehen!

    InformationsquelleAutor Chris
  3. 2

    Aus der Django-Docs:

    SQL-injection-Schutz

    SQL-injection ist eine Art von Angriff, bei dem ein
    böswillige Benutzer in der Lage ist zum ausführen von beliebigen SQL-code in einer Datenbank.
    Dies kann dazu führen, Datensätze gelöscht oder Daten Durchsickern.

    Durch die Verwendung von Django ' s querysets, die resultierende SQL-korrekt
    entkam durch die zugrunde liegende Datenbank-Treiber. Aber Django auch gibt
    Entwickler macht zu schreiben, raw-Abfragen oder führen Sie benutzerdefinierte sql. Diese
    Funktionen sollten nur sparsam verwendet werden, und Sie sollten immer vorsichtig sein
    richtig entziehen sich jeglicher Parameter, die der Benutzer Steuern kann. In
    zusätzlich, sollten Sie vorsichtig bei der Verwendung von zusätzlichen().

    InformationsquelleAutor cstrutton
Schreibe einen Kommentar