Python阵营有许多操作数据库的开源库(装置pip后,能够凭借”pip search mysql”检查可用的库列表),其中被运用最多的无疑是MySQLdb,这个库简略易上手。其偏底层的特性为开发者供给灵活性的一起,也对不少新手写出的DB操作代码提出了检测,由于它只支撑raw sql,简略导致sql注入进犯。
鉴于此,许多库供给了ORM接口才能,凭借OO思维,数据库中的表被映射为Python的类,类的目标代表数据表中的一行记载,一切的DB操作都经过目标办法调用来完成,这些调用在底层被主动转化成SQL句子,在转化过程中, 通常会选用parameter bind的办法确保生成的parameterized SQL不存在被注入的危险 。
SQLAlchemy 便是这样一个具有ORM才能的DB操作Python库,此外,该库还支撑开发者履行raw sql,并经过其供给的text目标完成 params binding ,然后防护SQL注入危险。
补白1:PHP中的DB操作库(如PDO或MySQLi)支撑的prepare/bind_param接口也是业界引荐的防备sql injection的办法,而escape_string只能对单/双引号等特别字符做简略的替换,它并不能确保防护一切的危险字符。
补白2:SQLAlchemy的官方文档比较多,其架构细节能够参阅 SQLAlchemy at Architecture of Open Source Applications 这篇文章,信任对初学者有不小的协助。
下面的代码示例用来阐明怎么凭借SQLAlchemy的parameters bind才能来写出能避免sql注入的raw sql。
条件假定
假定咱们完成了一个简略的sqlalchemy封装类(dbutil.py),代码如下:
#!/bin/env python #-*- encoding: utf-8 -*- from sqlalchemy import create_engine class DbWrapper(object): _db_inst = None _db_driver_cfg = { 'dbtype' : 'mysql', } @clas *** ethod def get_db_inst(cls, dbtype = 'mysql', user = '', password = '', host = '127.0.0.1', port = 3306, dbname = '', encoding = 'utf-8'): if cls._db_inst is None: stmt = '%s://%s:%s@%s:%s/%s' % (cls._db_driver_cfg['dbtype'], user, password, host, port, dbname) cls._db_inst = create_engine(stmt, encoding = encoding) return cls._db_inst
上面的代码十分简略,在需求操作db时,经过调用dbutil.get_db_inst()并传入db装备就能获取到能够操作db的类的实例。
补白:db实例更好创立一次后保存起来,进程发动后在做必要的初始化作业时就能够先把db实例创立出来且整个进程都可用这个实例拜访数据库。这是由于sqlalchemy库是支撑 connection pool 且默许启用的,在大多数情况下,一个db实例足以应对整个进程对db的并发拜访需求。
insert示例
下面以insert sql为例阐明怎么凭借sqlalchemy.text写出无sql注入危险的raw sql(假定现已创立出_db_inst实例)。
#!/bin/env python #-*- encoding: utf-8 -*- import time from sqlalchemy import text def insert_into_xxx_tbl(user_id, user_name, nickname): insert_params_dict = { 'user_id': user_id, 'user_name': user_name, 'nickname': nickname, 'db_insert_time': int(time.time()), 'db_update_time': int(time.time()), } ## use sqlalchemy bindparams to prevent sql injection pre_sql = 'insert into xxx_tbl (user_id, user_name, nickname, db_insert_time, db_update_time) values(:user_id, :user_name, :nickname, :db_insert_time, :db_update_time)' bind_sql = text(pre_sql) resproxy = _db_inst.connect().execute(bind_sql, insert_params_dict) ## return lastid as event_id event_id = resproxy.lastrowid return event_id
select示例
select的用法与insert相似:凭借Python dict结构select sql where条件的kv pairs,使用text()对sql进行参数绑定,调用execute()时传入绑定的sql及真实的参数即可。
#!/bin/env python #-*- encoding: utf-8 -*- import time from sqlalchemy import text def select_from_xxx_tbl(event_id): select_params_dict = { 'event_id': event_id, } ## use sqlalchemy bindparams to prevent sql injection pre_sql = 'select user_id, user_name, nickname from xxx_tbl where event_id = :event_id' bind_sql = text(pre_sql) resproxy = _db_inst.connect().execute(bind_sql, select_params_dict) rows = resproxy.fetchall() ret = rows[0] ## return (user_id, user_name, nickname) return ret
为了增强用户体会度,现代Web网站架构中都包含了各式各样的“躲藏体系”,这些体系不只能够给用户供给各种额定的服务,并且还能够协助管理员提取网站各方面的剖析数据。可是,这些躲藏体系相同也是近些年里常常被...
概述 2019年2月底,unit 42研究人员发现了新出现的为新处理器架构编译的Mirai样本。尽管Mirai的源码在2019年就揭露了,可是它的进犯方针是特定的一批处理器架构集。 Unit 42研究...
关于嵌入式开发人员和专门进犯硬件的黑客来说,JTAG 实践上是调试和拜访微处理器寄存器的标准。该协议已运用多年,至今仍在运用,JTAG调试接口有必要运用VCC、GND电源信号,以及TMS、TCK、TD...
Modbus协议 Modbus是全球第一个真实用于工业现场的总线协议,ModBus选用主/从(Master/Slave)方法通讯。最大可支撑247个隶属控制器,但实践所支撑的隶属控制器数还得由所用通讯...
这个Ruby结构包括一些能够浸透测验WordPress网站和体系的模块,用户也能够自己开发模块扩展其功用。 运转它需求什么条件? 保证体系上装置了Ruby 2.2.x,翻开一个指令行窗口,切换当时目录...
360站长渠道中有一个东西是“官网直达”,经过恳求能够使你的网站在360搜索成果中加上“官网”字样的标识,百度也有这样的东西,不过是收费的,所以趁着360还没收费,有爱好的朋友可认为自己的网站恳求一...