Python中该怎么防止SQL注入

SQL注入

SQL攻击（SQL injection），简称注入攻击，是发生于应用程序之数据库层的安全漏洞。简而言之，是在输入的字符串之中注入SQL指令，在设计不良的程序当中忽略了检查，那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行，因此遭到破坏或是入侵。
　　　　　　　　　　　　　　　　　　　　　　　　　 ----维基百科　　

简而言之,sql注入是指在http通信中, 将sql语句伪装成参数传入服务器,服务器如果没有防范则会执行恶意sql语句,从而导致数据泄露等危险.那么如何防止sql注入呢?

ORM

象关系映射（英语：Object Relational Mapping，简称ORM),是一种程序设计技术，用于实现面向对象编程语言里不同类型系统的数据之间的转换。从效果上说，它其实是创建了一个可在编程语言里使用的“虚拟对象数据库”.
借助OO思想，数据库中的表被映射为Python的类，类的对象代表数据表中的一行记录，所有的DB操作都通过对象方法调用来实现，这些调用在底层被自动转换成SQL语句，在转换过程中，通常会采用parameter bind的方式保证生成的parameterized SQL不存在被注入的风险.
常用的orm肯定是sqlalchemy.

MySQLdb

mysqldb是常用的操作mysql的库, 导致sql注入的写法:

temp = "select name from userinfo where name='%s' and password='%s'" % (username, pwd)
effect_row = cursor.execute(temp)

这种方法直接将参数进行拼接
正确的写法是:

effect_row = cursor.execute("select name from userinfo where name='%s' and password='%s'",(username, pwd,))

通过参数的形式传入sql语句, 会将 ' 单引号进行转义

SQLAlchemy

前文说到,当使用sqlalchemy时,正常使用如:
session.query(User).filter(id == user_id)
是不会有问题的,因为orm会将sql语句进行转义,但是如果使用其execute()直接执行sql语句则还是有一定的风险的,如:

session.execute('select * from user where id = %s' % user_id).fetchall()

正确的写法:

from sqlalchemy import text
sql = 'select * from user where id = :id'
session.execute(text(sql), {'id':1}).fetchall()

通过text函数将数值通过参数的形式传入.

结尾结论: 无论何时尽量使用参数绑定的形式来构建SQL语句