Comment puis-je prévenir l'injection SQL, PYTHON-DJANGO?

Si un lamer entrée est insérée dans une requête SQL directement, l'application devient vulnérable à l'injection SQL, comme dans l'exemple suivant:

dinossauro = request.GET['username']

sql = "SELECT * FROM user_contacts WHERE username = '%s';" % username

À déposer les tables ou quoi que ce soit -- la requête:

INSERT INTO table (column) VALUES('`**`value'); DROP TABLE table;--`**`')

Que peut-on faire pour éviter cela?

Puis-je vous demander pourquoi vous manuellement l'écriture de requêtes sql au lieu d'utiliser django Modèles?
L'ORM de django, en dehors de raw et extra échappera à vos questions pour vous. Voir le sécurité docs.

OriginalL'auteur Jayron Soares | 2013-12-09

  1. 8

    Tout d'abord, vous devriez probablement juste de l'utilisation L'ORM de Django, il permettra d'éviter toute possibilité d'injection SQL.

    Si pour une raison quelconque vous ne pouvez pas ou ne voulez pas, alors vous devriez utiliser Python API de Base de données. Ici est la façon dont vous le faites habituellement que dans Django:

    from django.db import connection

cursor = connection.cursor()
cursor.execute('insert into table (column) values (%s)', (dinosaur,))
cursor.close()

    Vous pouvez également utiliser maniable paquet python pour réduire le passe-partout:

    from handy.db import do_sql

do_sql('insert into table (column) values (%s)', (dinosaur,))

    OriginalL'auteur Suor

  2. 3

    Si vous utilisez .extra() la syntaxe est la suivante:

    YourModel.objects.extra(where=['title LIKE %s'], params=['%123%321%'])

    De répéter ici de cette réponse que c'est dur à trouver, et l' docs que dire "you should always be careful to properly escape any parameters" ne vais pas en dire comment pour échapper correctement!

    OriginalL'auteur Chris

  3. 2

    De la Django Docs:

    SQL injection de protection

    Injection SQL est un type d'attaque où un
    utilisateur malveillant est capable d'executer du code SQL dans une base de données.
    Cela peut entraîner des dossiers de supprimer ou de fuite de données.

    En utilisant Django querysets, le SQL qui en résulte sera correctement
    échappé par le pilote de base de données. Cependant, Django donne aussi
    les développeurs de pouvoir écrire raw ou d'exécuter des requêtes sql personnalisées. Ces
    les capacités doivent être utilisés avec parcimonie et vous devriez toujours être prudent
    afin d'échapper correctement tous les paramètres que l'utilisateur peut contrôler. Dans
    outre, vous devez faire preuve de prudence lors de l'utilisation supplémentaires().

    OriginalL'auteur cstrutton