pymysql 解決 sql 注入問題

1. SQL 注入

SQL 注入是非常常見的一種網絡攻擊方式，主要是通過參數來讓 mysql 執行 sql 語句時進行預期之外的操作。

即：因為傳入的參數改變SQL的語義，變成了其他命令，從而操作了數據庫。

產生原因：SQL語句使用了動態拼接的方式。

例如，下面這段代碼通過獲取用戶信息來校驗用戶權限：

import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = ' + str(input['id']) + ' AND password = "' + input['password'] + '"' cursor = dbclient.cursor(pymysql.cursors.DictCursor) cursor.execute(sql) count = cursor.fetchone() if count is not None and count['count'] > 0: print('登陸成功')

 

但是，如果傳入參數是：

input['id'] = '2 or 1=1'

　　

你會發現，用戶能夠直接登錄到系統中，因為原本 sql 語句的判斷條件被 or 短路成為了永遠正確的語句。
這里僅僅是舉一個例子，事實上，sql 注入的方式還有很多種，這里不深入介紹了。
總之，只要是通過用戶輸入數據來拼接 sql 語句，就必須在第一時間考慮如何避免 SQL 注入問題。
那么，如何防止 SQL 注入呢？

 

2. 預防 SQL 注入 – pymysql 參數化語句

pymysql 的 execute 支持參數化 sql，通過占位符 %s 配合參數就可以實現 sql 注入問題的避免。

import pymysql sql = 'SELECT count(*) as count FROM user WHERE id = %s AND password = %s' valus = [input['id'], input['password']] cursor = dbclient.cursor(pymysql.cursors.DictCursor) cursor.execute(sql, values) count = cursor.fetchone() if count is not None and count['count'] > 0: print('登陸成功')

 

這樣參數化的方式，讓 mysql 通過預處理的方式避免了 sql 注入的存在。
需要注意的是，不要因為參數是其他類型而換掉 %s，pymysql 的占位符並不是 python 的通用占位符。
同時，也不要因為參數是 string 就在 %s 兩邊加引號，mysql 會自動去處理。

 

3. 預防 SQL 注入 – mysql 存儲過程

數據庫存儲過程是 mysql 的一種高級用法，但是一般來說，並不建議使用數據庫的存儲過程。

主要原因是：

•  存儲過程的語法與普通 SQL 語句語法相差太大，增加維護成本
•  存儲過程在各數據庫間不通用且差別較大，給數據庫的移植和擴展帶來困難
•  編寫困難，數據庫腳本語言使用起來還是很不方便的，包括很多數據結構的缺失，讓很多事情做起來很困難
•  調試困難，雖然有一些功能強大的 IDE 提供了數據庫存儲過程的調試功能，但是通常你需要同時在數據庫層面上和業務中同時進行調試，兩處調試極為不便
•  業務耦合，編寫存儲過程通常是需要在其中放入部分業務邏輯，這使得業務分散在數據層，業務層與數據層的耦合對於項目維護和擴展都會帶來極大地不便。

但是，雖然不建議使用存儲過程，但是畢竟可以依賴他實現各種跨語言的 sql 注入預防，在復雜的場景下還是有其使用價值的。（以后需要用再去詳細學，這里只作簡單介紹）

3.1. 存儲過程編寫

delimiter \DROP PROCEDURE IF EXISTS proc_sql \CREATE PROCEDURE proc_sql ( in nid1 INT, in nid2 INT, in callsql VARCHAR(255) ) BEGIN set @nid1 = nid1; set @nid2 = nid2; set @callsql = callsql; PREPARE myprod FROM @callsql; --   PREPARE prod FROM 'select * from tb2 where nid>? and nid<?'; 傳入的值為字符串，？為占位符 -- 用@p1，和@p2填充占位符 EXECUTE myprod USING @nid1,@nid2; DEALLOCATE prepare myprod; END\delimiter ;

 

3.2. pymsql 中調用

import pymysql cursor = conn.cursor() mysql="SELECT * FROM user where nid > ? and nid < ?" cursor.callproc('proc_sql', args=(11, 15, mysql)) rows = cursor.fetchall() conn.commit()