标签:sql注入防范 python编码规范 python中防御sql注入
近几年互联网攻击又开始盛行起来,包括网站渗透攻击、xss攻击以及遍地都是的sql注入攻击等,今天我们就如何在python项目中进行规范的编码从而避免或减少sql注入的风险,快跟随icode9技术文章分享的小编一起来看看吧作为 Python 开发人员,您将遇到许多问题。掌握编码语法不足以编写功能稳定的应用程序。您还必须熟悉最终应用程序可能处理的不同挑战,包括 Python 安全风险。
许多关于开发安全应用程序的讨论都集中在使用机器学习来保护客户,例如帮助他们避免假日诈骗。然而,确保应用程序本身不易受到网络犯罪分子的攻击同样重要。
Python 开发人员必须应对的挑战之一是保护他们的应用程序免受网络攻击。困扰软件开发人员的最大安全问题之一是SQL 注入。Bitninja 报告称,SQL 注入占所有应用程序攻击的 50% 以上。这种技术可以让 SQL 代码不受任何限制地在客户端应用程序中运行,从而悄无声息地更改数据。系统管理员通常不会注意到这些更改,直到为时已晚。
这是一个非常严重的安全风险,如果不加以预防,可能会产生可怕的后果。因此,了解 SQL 注入的风险以及为保护 Python 应用程序免受此类攻击应采取的步骤非常重要。
什么是 SQL 注入以及它们对 Python 应用程序构成什么威胁?
如前所述,SQL 注入允许 SQL 代码从客户端应用程序直接执行到数据库中。这些攻击允许黑客在未经系统管理员同意的情况下不受限制地更改数据。这是一个非常严重的问题,如果不及时阻止,可能会严重危及系统的安全性。
SQL 攻击会对公司造成广泛的后果,例如:
- 网站损坏:攻击者可以删除或修改公司的数据库,从而破坏网站。
- 数据盗窃 或泄露:许多攻击旨在窃取机密数据,例如商业机密、敏感信息、知识产权,以及(更常见的)有关公司用户或客户的信息。然后可以将此信息出售给竞争对手以获得商业优势。
- 特权升级:攻击者可以使用被破坏的数据库的内容来访问公司内部网络的其他部分。
- 声誉和信誉的丧失:公司在遭受网络攻击后通常很难重新获得客户的信任。
Open Web Application Security Project 的一项分析显示,2021 年对应用程序的 SQL 注入攻击超过 274,000 次。这个数字可能每年都在增长。
为了更好地理解这个问题,让我们举一个实际的例子。想象一个简单的应用程序,通过传递他们的姓名和年龄来更新客户。仅关注应用程序的后端并且不进行任何 SQL 注入检查,负责更新客户端的代码基本上如下:
name = 'John' cursor.execute(f "UPDATE customer SET name={name} WHERE idcustomer=13")
上面的代码会将 ID 为 13 的客户的姓名更新为“John”。到目前为止,它似乎有效地工作。但是,它的表面下存在一些严重的安全风险。
乍一看,我们似乎只是在更新数据库中的客户名称。但是,想象一下,我们不只是将“John”传递给 name 变量,而是传递了一些 SQL 代码:
name = "'Carlos' , age = 80" cursor.execute(f "UPDATE customer SET name={name} WHERE idclient=13")
上述代码将允许在未经系统管理员许可或同意的情况下同时更改 ID 为“13”的客户端的姓名和年龄。不允许编辑客户的年龄似乎很愚蠢,但想象一下银行系统有同样的问题并允许用户更改余额值。
这是一个复杂的情况,如果不加以补救,可能会产生不可估量的后果。但是可以采取什么步骤来解决它们呢?
Python 开发人员可以做什么来防止 SQL 注入攻击?
为了解决 SQL 注入问题,我们需要参数化我们程序中使用的查询。我们需要确保不允许在应用程序的客户端执行 SQL 代码。为此,我们按如下方式更改查询:
name = "'Carlos' , age = 80" cursor.execute("UPDATE client SET name=%(name)s WHERE idclient=13", ({'name': name, }))
使用上面的代码,我们将不再执行 UPDATE 中“name”变量中存在的代码。相反,此变量的全部内容将存储为 ID 为 13 的客户的姓名。因此,ID 为 13 的客户的姓名将为“Carlos, age = 80”,他的年龄将保持不变。
结论
这样,我们将不再允许在未经系统许可的情况下更改特定表的字段,从而确保我们的应用程序更加安全。
标签:sql注入防范,python编码规范,python中防御sql注入 来源:
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。