防止SQL注入的核心是避免拼接SQL,应使用参数化查询或ORM框架,辅以输入验证和最小权限原则。例如,SQLite和MySQL支持占位符传递用户数据,SQLAlchemy等ORM自动防注入;同时需校验输入格式、长度,限制数据库账户权限,并隐藏敏感错误信息,确保安全编码。
防止SQL注入是Python网页开发中必须重视的安全问题,尤其是在使用数据库交互的应用中。关键在于避免将用户输入直接拼接到SQL语句中。以下是几种实用且有效的防护方法。
使用参数化查询(预编译语句)
参数化查询是最基本也是最有效的防止SQL注入的手段。它通过占位符传递用户输入,使数据库引擎区分代码与数据。
以sqlite3和MySQL为例:
SQLite 示例:
立即学习“Python免费学习笔记(深入)”;
import sqlite3conn = sqlite3.connect("example.db") cursor = conn.cursor()
正确方式:使用参数化
username = input("请输入用户名:") cursor.execute("SELECT * FROM users WHERE username = ?", (username,))
错误方式:字符串拼接(危险!)
cursor.execute(f"SELECT * FROM users WHERE username = '{username}'")
MySQL 示例(使用 mysql-connector-python):
import mysql.connectorconn = mysql.connector.connect(user='root', password='pwd', database='test') cursor = conn.cursor()
使用 %s 占位符
cursor.execute("SELECT * FROM users WHERE email = %s", (email,))
使用ORM框架(如 SQLAlchemy)
ORM(对象关系映射)框架自动处理SQL生成,天然具备防注入能力。开发者操作的是对象而非原始SQL语句。
SQLAlchemy 示例:
from sqlalchemy.orm import sessionmaker from models import User # 假设已定义User模型Session = sessionmaker(bind=engine) session = Session()
安全查询,不会产生SQL注入
user = session.query(User).filter(User.username == username).first()
只要不手动拼接SQL或使用text()包装恶意字符串,SQLAlchemy 能有效规避风险。
对输入进行验证与过滤
即使使用了参数化查询,也建议对用户输入做基础校验,降低攻击面。
- 限制输入长度,如用户名不超过30字符
- 使用正则表达式验证格式,如邮箱、手机号
- 拒绝包含特殊字符(如单引号、分号、注释符)的非法输入
例如:
import redef is_validusername(username): return re.match(r"^[a-zA-Z0-9]{3,30}$", username) is not None
最小权限原则与错误信息处理
数据库账户应遵循最小权限原则。Web应用使用的数据库账号不应拥有DROP、ALTER等高危权限。
同时,避免向用户暴露原始数据库错误信息,防止泄露结构细节。
正确做法:
- 捕获异常并返回通用提示,如“操作失败,请稍后重试”
- 将详细日志记录在服务器端,仅供管理员查看
基本上就这些。核心是绝不拼接SQL,坚持使用参数化或ORM,再辅以输入校验和权限控制,就能有效抵御SQL注入攻击。安全编码习惯比任何工具都重要。不复杂但容易忽略。
