堆栈内存溢出
  繁体   English   中英

为什么 PyMySQL 不易受到 SQL 注入攻击?

[英]Why is PyMySQL not vulnerable to SQL injection attacks?

 原文  2022-01-16 16:58:54       python/ mysql/ sql-injection/ pymysql/ string-operations

问题描述

我是 PyMySQL 的新手,只是尝试执行一个查询:

c.execute('''INSERT INTO mysql_test1 (
                                    data,
                                    duration,
                                    audio,
                                    comments
                                ) VALUES (
                                    ?,
                                    ?,
                                    ?,
                                    ?
                                );
                            ''', [
                                    comments_var,
                                    duration_var,
                                    audio_var,
                                    comments_var    
                                ]
                            );

但是,它引发了以下错误:

TypeError: not all arguments converted during string formatting

我注意到我的变量一定有问题,并阅读了如何在 PyMySQL 中正确处理它们,期待参数替换的方法,但令我惊讶的是,我找不到任何东西。 相反,我发现的每个线程都使用了字符串操作(例如, herehereherehere (有一条评论声称字符串操作将是 PyMySQL 的标准)。

这对我来说很有趣,因为我以前只处理过 SQLite,其中 DBAPI 文档明确警告要对变量使用字符串操作:

SQL 操作通常需要使用 Python 变量中的值。 但是,请注意使用 Python 的字符串操作来组装查询,因为它们容易受到 SQL 注入攻击。

文档用以下代码片段举例说明了这一点:

Never do this -- insecure!
symbol = 'RHAT'
cur.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
Instead, use the DB-API’s parameter substitution.

在阅读PyMySQL 文档时,我找不到任何关于此类危险的提及。 它只是证实了我之前的发现:

如果 args 是列表或元组,则 %s 可以用作查询中的占位符。 如果 args 是 dict,则 %(name)s 可以用作查询中的占位符。

为什么在sqlite3中使用字符串操作被认为容易受到 SQL 注入攻击,同时在pymysql中没有受到质疑?

1 个解决方案

解决方案1
 3 已采纳  2022-01-16 17:04:48

可惜pymysql的设计者选择使用%s作为参数占位符。 它使许多开发人员感到困惑,因为这与字符串格式化函数中使用的%s相同。 但它在 pymysql 中并没有做同样的事情。

它不仅仅是做一个简单的字符串替换。 Pymysql 会将escaping应用于值,然后将它们插入到 SQL 查询中。 这可以防止特殊字符更改 SQL 查询的语法。

事实上,你也可能会在使用 pymysql 时遇到麻烦。 以下是不安全的:

cur.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)

因为它在将变量symbol作为参数传递给execute()之前将其插入到字符串中。 唯一的参数是一个完成的 SQL 字符串,其中包含格式化的变量。

虽然这是安全的:

cur.execute("SELECT * FROM stocks WHERE symbol = %s", (symbol,))

因为它将包含symbol变量的列表作为第二个参数传递。 execute() function 中的代码将 escaping 应用于列表中的每个元素,并将结果值插入到 SQL 查询字符串中。 请注意%s不是由单引号分隔的。 execute()的代码负责这一点。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 SQLAlchemy查询是否容易受到注入攻击? 这些SQL输入参数是否容易注入? Python SQLite3 SQL 注入漏洞代码 这个Python代码是否容易受到SQL注入攻击? (sqlite3的) PyMySQL如何防止用户受到sql注入攻击? 分号在SQL注入和XSS攻击中的作用 防止参数绑定之外的SQL注入攻击 如何防止 discord bot python 中的 SQL 注入攻击 如果使用原生 ORM,如何避免 Django Rest API 中的 SQL 注入攻击? 如果我使用Flask接收发布数据,将该数据放入WTForms表单并成功验证,是否可以免受SQL注入攻击?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM