【安全】（三）Django之SQL注入防御

1、什么是SQL注入

SQL注入是针对数据的一种攻击手段。黑客通过各种方法恶意篡改你后台中访问数据库的SQL语句，从而达到他的目的。如防御不当，黑客通过SQL注入可获取数据库相关隐私信息、恶意修改数据、恶意删除数据等。

2、Django中如何防御SQL注入

Django自带的ORM查询在进行数据访问时，会根据使用的数据库服务器（例如：MySql）的转换规则，自动转义特殊的SQL参数。注意有一个方法另外extra()，这个方法接受原始的SQL。

3、我的防御方案

第一步：对用户提交的字符串做安全验证。若含有危险字符串，则拒绝访问。

第二步：验证用户提交数据的类型、长度等。

第三步：进行数据的增删改查时尽量使用Django的ORM进行查询。若要使用到SQL语句进行查询可使用以下方案，需要传进数据库的数据进行参数化处理。方法如下;

my_connection = connections['default']
with my_connection.cursor() as cursor:
    sql = '''select * from my_table where id = "%s" '''
    cursor.execute(sql,[pk])
    cursor.execute(sql)
    result = cursor.fetchall()