python防止sql注入的核心方法是使用参数化查询,其原理在于将sql语句结构与数据内容严格分离——数据库驱动(如 sqlite3、psycopg2 或 pymysql)会把参数值作为独立的数据单元传递给数据库服务器,由数据库引擎在执行前进行安全转义或直接绑定到预编译语句中,从而避免用户输入被当作sql代码解析执行。
python防止sql注入的核心方法是使用参数化查询,其原理在于将sql语句结构与数据内容严格分离——数据库驱动(如 sqlite3、psycopg2 或 pymysql)会把参数值作为独立的数据单元传递给数据库服务器,由数据库引擎在执行前进行安全转义或直接绑定到预编译语句中,从而避免用户输入被当作sql代码解析执行。
参数化查询如何隔离SQL逻辑与数据
数据库在接收到参数化语句(如 "SELECT * FROM users WHERE name = ?")后,会先对SQL语法进行编译,生成执行计划;参数值不参与编译过程,仅在执行阶段以二进制或类型化方式传入。这意味着即使参数含单引号、分号或 UNION SELECT,也不会改变原有SQL结构。
- 字符串拼接(危险):
query = "SELECT * FROM users WHERE name = '" + user_input + "'"→ 输入O'Reilly会导致语法错误,输入admin'--可能绕过认证 - 参数化写法(安全):
cursor.execute("SELECT * FROM users WHERE name = ?", (user_input,))→ 数据库把O'Reilly当作纯文本值处理,自动加引号并转义
不同数据库驱动的参数占位符规范
各驱动对参数占位符的语法要求不同,必须匹配使用,否则参数不会被识别为绑定变量,仍可能触发注入。
-
sqlite3:用?(问号)或命名占位符:name,例如cursor.execute("INSERT INTO t VALUES (?, ?)", (a, b)) -
psycopg2(PostgreSQL):只支持%s(注意不是Python字符串格式化),例如cursor.execute("SELECT * FROM t WHERE id = %s", (123,)) -
pymysql/mysql-connector-python:用%s,不可用?或:name,否则报错或降级为字符串拼接 - 切勿混用:
cursor.execute(f"WHERE name = %s AND age > {user_age}")中的{user_age}是Python f-string 拼接,已破坏参数化机制
哪些操作不能靠参数化保护
参数化仅适用于**数据值**(WHERE 条件、INSERT 字段值、ORDER BY 中的值等),无法用于动态SQL结构本身。
迅易年度企业管理系统开源完整版
下载
系统功能强大、操作便捷并具有高度延续开发的内容与知识管理系统,并可集合系统强大的新闻、产品、下载、人才、留言、搜索引擎优化、等功能模块,为企业部门提供一个简单、易用、开放、可扩展的企业信息门户平台或电子商务运行平台。开发人员为脆弱页面专门设计了防刷新系统,自动阻止恶意访问和攻击;安全检查应用于每一处代码中,每个提交到系统查询语句中的变量都经过过滤,可自动屏蔽恶意攻击代码,从而全面防止SQL注入攻击
- 表名、列名、排序字段(如
ORDER BY ?)不被支持,需通过白名单校验或硬编码控制 - 查询限制数(
LIMIT ?)在部分驱动中受限,SQLite 支持,MySQL 需用int()转换后拼接到SQL中(前提是可信来源) - 动态
IN列表(如WHERE id IN (?, ?, ?))需按实际参数个数构造占位符,不能传入元组直接替换
额外建议:组合防御更可靠
参数化查询是防SQL注入的基石,但配合其他措施可进一步降低风险。
立即学习“Python免费学习笔记(深入)”;
- 最小权限原则:数据库连接账号仅授予必要表的 CRUD 权限,禁用
DROP、EXECUTE等高危权限 - 输入校验前置:对ID类字段用
int()强转,邮箱用正则初筛,不依赖SQL层过滤 - 开启数据库日志与WAF规则:捕获异常SQL模式(如含
UNION SELECT、@@version的请求) - 避免自定义ORM拼接:如用
f"SELECT {fields} FROM {table}"构造查询,应改用框架提供的查询接口(Django ORM、SQLModel 等默认参数化)
