清理 SQLite 输入
Sanitizing SQLite Input
首先我对数据库很陌生,我昨天开始使用 Python。
我开始使用 sqlite3 模块(在此之前我通过 Perl 中的 DBI 使用了一些 Sqlite)
我在官方 Python Sqlite 文档 here
上偶然发现了以下示例
# Never do this -- insecure!
symbol = 'RHAT'
c.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
# Do this instead
t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
print c.fetchone()
为什么第一个示例不安全而第二个示例不安全?
假设我有一些存储文档的应用程序,用户可以通过文档名称搜索数据库。
为此,我需要用户输入,然后使用 keyword/s
创建查询
我不明白为什么元组现在应该比字符串更多 "secure" 我的意思是在这两种情况下用户都可以输入类似 "xyz OR 1=1" 的内容来显示每条记录。
希望有好心人给我解释一下。我知道这对于有经验的人来说可能是显而易见的。
参数与简单字符串替换不同;他们直接将他们的值提供给数据库而无需进一步解释:
>>> import sqlite3
>>> db=sqlite3.connect(":memory:")
>>> db.execute("CREATE TABLE t(x)")
>>> db.execute("INSERT INTO t VALUES('x'),('secret')")
>>> db.execute("SELECT * FROM t WHERE x = '%s'" % ("x' OR 1=1--",)).fetchall()
[(u'x',), (u'secret',)]
>>> db.execute("SELECT * FROM t WHERE x = ?", ("x' OR 1=1--",)).fetchall()
[]
使用参数时,您获得的效果与为所有特殊字符(在本例中为 WHERE x = 'x'' OR 1=1--')正确引用该值一样。
首先我对数据库很陌生,我昨天开始使用 Python。
我开始使用 sqlite3 模块(在此之前我通过 Perl 中的 DBI 使用了一些 Sqlite)
我在官方 Python Sqlite 文档 here
上偶然发现了以下示例# Never do this -- insecure!
symbol = 'RHAT'
c.execute("SELECT * FROM stocks WHERE symbol = '%s'" % symbol)
# Do this instead
t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
print c.fetchone()
为什么第一个示例不安全而第二个示例不安全?
假设我有一些存储文档的应用程序,用户可以通过文档名称搜索数据库。
为此,我需要用户输入,然后使用 keyword/s
创建查询我不明白为什么元组现在应该比字符串更多 "secure" 我的意思是在这两种情况下用户都可以输入类似 "xyz OR 1=1" 的内容来显示每条记录。
希望有好心人给我解释一下。我知道这对于有经验的人来说可能是显而易见的。
参数与简单字符串替换不同;他们直接将他们的值提供给数据库而无需进一步解释:
>>> import sqlite3
>>> db=sqlite3.connect(":memory:")
>>> db.execute("CREATE TABLE t(x)")
>>> db.execute("INSERT INTO t VALUES('x'),('secret')")
>>> db.execute("SELECT * FROM t WHERE x = '%s'" % ("x' OR 1=1--",)).fetchall()
[(u'x',), (u'secret',)]
>>> db.execute("SELECT * FROM t WHERE x = ?", ("x' OR 1=1--",)).fetchall()
[]
使用参数时,您获得的效果与为所有特殊字符(在本例中为 WHERE x = 'x'' OR 1=1--')正确引用该值一样。