Каков самый безопасный способ выполнения запросов на mysql? Я знаю об опасностях, связанных с MySQL и SQL-инъекциями.
Однако я не знаю, как мне выполнять свои запросы, чтобы предотвратить внедрение переменных, которыми могут манипулировать другие пользователи (веб-клиенты). Раньше я писал свою собственную escape-функцию, но, видимо, это «не сделано».
Что мне следует использовать и как использовать его для запросов и безопасных вставок в базу данных MySQL через python без риска внедрения mysql?
Чтобы избежать инъекций, используйте execute с %s вместо каждой переменной, затем передайте значение через список или кортеж в качестве второго параметра execute. Вот пример из документации:
c=db.cursor()
max_price=5
c.execute("""SELECT spam, eggs, sausage FROM breakfast
WHERE price < %s""", (max_price,))
Обратите внимание, что здесь используется запятая, а не % (это была бы прямая подстановка строки, без экранирования). Не делайте этого:
c.execute("""SELECT spam, eggs, sausage FROM breakfast
WHERE price < %s""" % (max_price,))
Кроме того, вам не нужны кавычки вокруг держателя позиции ('%s'), если параметр является строкой.
%s (см. Пример max_price выше).
- person Bruno; 28.10.2011
max_price - это запись для одноэлементного кортежа: docs. python.org/tutorial/
- person Bruno; 30.10.2011
Note that this is using a comma, not % (which would be a direct string substitution, not escaped). Don't do this Вы уверены? Потому что я использовал запятую, и она экранирует строку
- person Hussain; 23.05.2014
% не экранирует параметры.
- person Bruno; 23.05.2014
%s вводит одинарные кавычки типа 'breakfast', а не `breakfast`
- person lucidbrot; 25.08.2019
[a-z0-9_]+.
- person Bruno; 25.08.2019
%s как параметр, не имеющий ничего общего с подстановкой строк в самом запросе: либо драйвер будет правильно экранировать значения, либо сам протокол БД учтет это.
- person Bruno; 09.08.2020
В качестве расширения ответа Бруно ваша клиентская библиотека MySQL может поддерживать любой из нескольких различных форматов для указания именованных параметров. Из PEP 249 (DB-API) вы можете написать свои запросы, например:
>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = ?", (lumberjack,))
>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = :1", (lumberjack,))
>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = :jack", {'jack': lumberjack})
>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = %s", (lumberjack,))
>>> cursor.execute("SELECT spam FROM eggs WHERE lumberjack = %(jack)s", {'jack': lumberjack})
Вы можете увидеть, что поддерживает ваша клиентская библиотека, посмотрев на переменную уровня модуля paramstyle:
>>> clientlibrary.paramstyle
'pyformat'
Любой из вышеперечисленных вариантов должен действовать правильно в отношении обработки ваших, возможно, небезопасных данных. Как заметил Бруно, никогда не пытайтесь самостоятельно вставлять параметры. Часто используемые клиентские библиотеки обрабатывают данные намного лучше, чем мы, простые смертные.
Если вы используете mysqldb, вы можете использовать встроенную функцию escape_string. Нравится.
sql = "SELECT spam FROM eggs WHERE lumberjack = '" + MySQLdb.escape_string(str(lumberjack)) + "';"
cursor.execute(sql)
Я всегда предпочитаю использовать escape-функцию соединителя базы данных - она работает, как задумано, и ручное кодирование escape-функций самостоятельно представляет собой угрозу безопасности.
MySQLdb в Python в значительной степени является прямым отображением C API, и поскольку Документ MySQL говорит: Не используйте эту функцию., вероятно, использовать ее - не лучшая идея. Даже с real_escape_string, могут быть уязвимости (в основном это примеры PHP, но основанные на одном и том же C API в обоих случаях).
- person Bruno; 13.11.2018
