设为首页 加入收藏

TOP

Python 字符串拼接 sql ,造成 sql 注入例子
2018-12-12 16:11:35 】 浏览:107
Tags:Python 字符串 拼接 sql 造成 注入 例子

简单的 userinfo 表

字符串拼接 sql 

import pymysql

# 测试环境的数据库连接
conn = pymysql.connect(host='192.168.0.214', port=3306, user='root', passwd='123456', db='tmpdb')
cursor = conn.cursor()

# 字符串拼接sql,用户名和密码都是乱写
sql = 'select username, password from userinfo where username="%s" and password="%s"'
sql = sql %('yy" or 1=1 -- ', '11111')
cursor.execute(sql)
r = cursor.fetchone()
print(r)

cursor.close()
conn.close()

# 运行结果,正确取到数值
('klvchen', '123456')

正常的写法

# __author__:"klvchen"
# date: 2018/12/12
import pymysql

conn = pymysql.connect(host='192.168.0.214', port=3306, user='root', passwd='123456', db='tmpdb')
cursor = conn.cursor()

cursor.execute('select username, password from userinfo where username="%s" and password="%s"', ('yy" or 1=1 -- ', '11111'))
r = cursor.fetchone()
print(r)

cursor.close()
conn.close()

# 运行结果,没有取到数值
None
】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部
上一篇Linux学习笔记之Django项目部署(.. 下一篇day 18 - 1 正则与 re 模块

最新文章

Django框架系列目录
创建Anaconda虚拟Python环境的方法
Python获取主目录的方法
Python中跨越多个文件使用全局变量
chatgpt使用python写一段二分查找的..

热门文章

PyCharm 2017 官网 下载 安装 设置 ..
day5模块学习 -- os模块学习
字符、字符集、编码,以及它们pytho..
Day9 网络编程
Python爬虫实战一之爬取QQ音乐

Hot 文章

PyCharm 2017 官网 下载 安装 设置 ..
day5模块学习 -- os模块学习
字符、字符集、编码,以及它们pytho..
Day9 网络编程
Python爬虫实战一之爬取QQ音乐

Python

C 语言

C++基础

大数据基础

linux编程基础

C/C++面试题目