sql注入

1 解决办法

　　1.1 中间件

　　1.2 占位符

　　1.3 用ORM时其会自动处理

2 详细

2-1 SQL注入问题
    * 
利用MySQL的注释语法,钻空子实现常规操作才能操作的功能



案例: 结合MySQL实现用户的登陆

import pymysql


# 链接数据库
conn = pymysql.connect(
    host='127.0.0.1',
    port=3306,
    user='root',
    passwd='1',
    charset='utf8',
    database='db6'
)


# 产生一个游标对象
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)




username = input('请输入用户名>>>:').strip()
password = input('请输入密码>>>:').strip()




sql = "select * from user where name='%s' and password='%s'" % (username, password)
print(sql)
res_sql = cursor.execute(sql)


# 若输入正确
if res_sql:
    print('登陆成功')
    # 获取数据
    print(cursor.fetchall())
else:
    print('登陆失败')

现象1: 无需用户名即可登陆


现象2: 无需密码可登陆


2-2 解决


import pymysql


# 链接数据库
conn = pymysql.connect(
    host='127.0.0.1',
    port=3306,
    user='root',
    passwd='1',
    charset='utf8',
    database='db6'
)


# 产生一个游标对象
cursor = conn.cursor(cursor=pymysql.cursors.DictCursor)




username = input('请输入用户名>>>:').strip()
password = input('请输入密码>>>:').strip()




sql = "select * from user where name=%s and password=%s"
"""
办法: 不手动拼接敏感数据,先用%s占位,之后将需要拼接的数据交给execute方法
"""


print(sql)
"""
将要拼接的数据用元组的形式组合起来,execute 会自动识别%s,过滤特殊符号,并用元组里的数据替换%s
"""
res_sql = cursor.execute(sql, (username,password))


# 若输入正确
if res_sql:
    print('登陆成功')
    # 获取数据
    print(cursor.fetchall())
else:
    print('登陆失败')