Python 字符串拼接 sql ,造成 sql 注入例子

本文转载自查看原文 2018-12-12 15:20 1256 Python

简单的 userinfo 表

**字符串拼接 sql **

import pymysql

# 测试环境的数据库连接
conn = pymysql.connect(host='192.168.0.214', port=3306, user='root', passwd='123456', db='tmpdb')
cursor = conn.cursor()

# 字符串拼接sql，用户名和密码都是乱写
sql = 'select username, password from userinfo where username="%s" and password="%s"'
sql = sql %('yy" or 1=1 -- ', '11111')
cursor.execute(sql)
r = cursor.fetchone()
print(r)

cursor.close()
conn.close()

# 运行结果，正确取到数值
('klvchen', '123456')

正常的写法

# __author__:"klvchen"
# date: 2018/12/12
import pymysql

conn = pymysql.connect(host='192.168.0.214', port=3306, user='root', passwd='123456', db='tmpdb')
cursor = conn.cursor()

cursor.execute('select username, password from userinfo where username=%s and password=%s', ('yy" or 1=1 -- ', '11111'))
r = cursor.fetchone()
print(r)

cursor.close()
conn.close()

# 运行结果，没有取到数值
None

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 SQL字符串拼接 SQL字符串拼接 SQL拼接字符串 Python sql注入过滤字符串的非法字符关于sql 拼接字符串的问题 SQL STUFF函数拼接字符串 SQL Server 字符串拼接、读取 SQL中字符串拼接 SQL中字符串拼接 SQL 分组后拼接字符串