2

我正在编写一个快速的 web.py 应用程序并从 web.input 中获取数据......

import web
urls = (
    '/', 'something',
)
app = web.application(urls, globals())
db = web.database(dbn='postgres', db='database', user='username', password='password', host='127.0.0.1')
class something:
    def GET(self):
        i = web.input()
        return db.select('foo.table', where="column=$variable", vars={'variable':i.input, })
if __name__ == "__main__": app.run()

我是否应该担心将 i.input 传递给 db.select (或查询等),就像我作为 vars 的一部分一样?SQL 注入的可能性等?

编辑:我自己一直在玩这个,试图让一些讨厌的事情发生。例如,使用引用http://localhost:8080/?id=13' 或 'x' ='x会导致很好地转义的 sql 显示在 Exceptions 中:

<sql: 'select * from foo.table where id = "13\' or \'x\'=\'x"'>

我尝试了互联网提出的其他一些常见测试,并认为我很高兴 web.py 正在处理卫生问题......其他人可以发表评论吗?

4

3 回答 3

6

http://webpy.org/cookbook/query说:

为了防止 SQL 注入攻击,db.query 还接受 db.select 中描述的“vars”语法:

results = db.query("SELECT * FROM users WHERE id=$id", vars={'id':10})

如果您信任他们的“id”变量,这将转义用户输入。

所以我想它就这么简单。

当然,我意识到如果我要插入用户输入的地方,我仍然需要验证用户输入......

于 2011-12-09T16:22:08.590 回答
4

您看到的“很好地转义的 sql”并不重要,因为它从未发送到数据库引擎。

在所有情况下,除非您手动将值插入 SQL 请求字符串,否则您可以安全地抵御 SQL 注入。这包括选择/插入/更新/删除方法以及$variable_name替换样式。在这两种情况下,SQL 请求都没有完全组装为文本,而是正确地转换为 SQL 准备语句并由数据库引擎编译。只有在此之后,参数才会实际替换为语句执行。因此,除非您使用不受信任的数据手动构建 SQL 查询字符串和/或其中的一部分,否则您是安全的。

不幸的是,我无法提供比模块源代码更好的任何来源的链接,因为它是我唯一的信息来源。

于 2011-12-18T11:14:38.127 回答
-1

是的,因为有些人可以更改变量,特别是如果它来自一个 url,比如“selecte * from table where id = [ variable + DELETE TABLE[。这是 sql 注入的一个例子。如果用户有知道您的后端数据对象的名称。

我不确定 Python 将如何处理 sql 语句的变量参数化,但我必须对冷融合站点和 ASP.net 站点执行类似的安全修复。

于 2011-12-09T15:47:31.480 回答