django如何避免sql注入(2)-木庄网络博客

2. 实现一个根据用户的username提取用户的视图。示例代码如下：

def index(request): username = request.GET.get('username') cursor = connection.cursor() cursor.execute('select 
id,username from front_user where username='%s'' % username) rows = cursor.fetchall() for row in rows: print(row) 
return HttpResponse('success')

这样表面上看起来也没有问题。但是如果用户传的username是zhiliao' or '1=1，那么以上拼接后的sql语句为：

1	`select id,username from front_user where username='zhiliao'` `or` `'1=1'`

以上sql语句的条件是username='zhiliao'或者是一个字符串，毫无疑问，字符串的判断是肯定成立的。因此会将front_user表中所有的数据都提取出来。

sql注入防御，归类起来主要有以下几点：

以上便是sql注入的原理。他通过传递一些恶意的参数来破坏原有的sql语句以便达到自己的目的。当然sql注入远远没有这么简单，我们现在讲到的只是冰山一角。那么如何防御sql注入呢？

1. 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和双'-'进行转换等。

2. 永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。比如：

1 2	`def index(request): user_id =` `'1 or 1=1'` `cursor = connection.cursor() cursor.execute('select id,username from` `front_user where id=%s',(user_id,)) rows = cursor.fetchall() for row in rows: print(row) return HttpResponse('success')`

3. 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4. 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5. 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。

总结：

1. 在网页中利用sql语句进行注入攻击，网页获取用户输入参数，但有些恶意用户利用特殊sql语句上传参数，后端获取参数若不对其正确性合法性进行判断，则有可能对数据库造成危害

2. get和post上传数据的时候，做好对参数的检查

3. 利用Dajngo的ORM可有效避免sql注入，因为Django已经对特殊字符进行转义

以上就是django如何避免sql注入的详细内容，更多文章请关注木庄网络博客！！

返回前面的内容