怎么使用Python攻击SQL数据库

这次我们将介绍怎么防止Python注入SQL攻击。有上一篇的铺垫，我们废话不多说，开搞。。。

制作安全查询参数

在上一篇中，我们看到了入侵者如何利用系统并通过使用 字符串获得管理权限。问题是，我们允许直接执行从客户端传递的值到数据库，却不执行任何类型的检查或验证，所以SQL注入就是依赖于这种类型的漏洞。

在数据库查询中使用用户输入时，可能存在SQL注入漏洞。防止PythonSQL注入的关键是确保该值是不是我们的意愿使用。在前面的示例中，我们打算username用作字符串。实际上，它被用作原始SQL语句。

为了防止入侵者将原始SQL注入字符串参数的位置，可以转义引号：

>>> # BAD EXAMPLE. DON'T DO THIS!>>> username = username.replace("'", "''")

这只是一个例子。在试图阻止Python SQL注入时，需要考虑许多特殊的字符和情况。还好，数据库适配器提供了内置的工具，可以通过使用查询参数来防止Python SQL注入。它们代替普通的字符串插值来组成一个带有参数的查询。

注意:不同的适配器、数据库和编程语言以不同的名称引用查询参数。常见的名称包括绑定变量、替换变量和替换变量。

现在我们对这个漏洞有了更好的理解，我们可以用查询参数代替字符串插值来重写函数了:

def is_admin(username: str) -> bool: with connection.cursor() as cursor: cursor.execute(""" SELECT admin FROM users WHERE username = %(username)s """, { 'username': username }) result = cursor.fetchone()
 if result is None: # User does not exist return False
 admin, = result return admin

在第9行，我们使用了一个命名参数username来指示用户名应该放在哪里。注意，参数username不再被单引号包围。

在第11行，我们将username的值作为第二个参数传递给了sor.execute()。在数据库中执行查询时，连接将使用username的类型和值。

测试这个函数，尝试一些有效和无效的值，包括危险的字符串:

>>> is_admin('haki')False>>> is_admin('ran')True>>> is_admin('foo')False>>> is_admin("'; select true; --")False

该函数返回所有值都是预期的结果。更重要的是，无效的用户名已经不再起作用了。可以通过检查execute()生成的查询来看原因:

>>> with connection.cursor() as cursor:... cursor.execute("""... SELECT... admin... FROM... users... WHERE... username = %(username)s... """, {... 'username': "'; select true; --"... })... print(cursor.query.decode('utf-8'))SELECT adminFROM usersWHERE username = '''; select true; --'

该连接将username的值视为字符串，并终止Python SQL注入的字符可能转义该字符串的可能。

传递安全的查询参数

数据库适配器通常提供几种传递查询参数的方法。命名占位符通常是可读性最好的，但是一些实现可能从使用其他选项中获得。

让我们快速查看一下使用查询参数的一些正确和错误的方法。下面的代码块显示了希望避免的查询类型:

# BAD EXAMPLES. DON'T DO THIS!cursor.execute("SELECT admin FROM users WHERE username = '" + username + '");cursor.execute("SELECT admin FROM users WHERE username = '%s' % username);cursor.execute("SELECT admin FROM users WHERE username = '{}'".format(username));cursor.execute(f"SELECT admin FROM users WHERE username = '{username}'");

这些每一条语句都将用户名从客户机直接传递到数据库，而不执行任何检查或验证。这种代码适合引入Python SQL注入。

相比之下，这些类型的查询执行起来应该是安全的:

cursor.execute("SELECT admin FROM users WHERE username = %s'", (username, ));cursor.execute("SELECT admin FROM users WHERE username = %(username)s", {'username': username});

在这些语句中，用户名作为命名参数传递。数据库将在执行查询时使用用户名的指定类型和值，从而避免Python SQL注入。

使用SQL组成

到目前为止，我们已经将参数用于诸如数字、字符串和日期之类的值。但是，如果有一个需要组合不同查询，比如表名或列名，该怎么办呢?

受前一个示例的启发，让我们实现一个函数，该函数接受表的名称并返回该表中的行数:

# BAD EXAMPLE. DON'T DO THIS!def count_rows(table_name: str) -> int: with connection.cursor() as cursor: cursor.execute(""" SELECT count(*) FROM %(table_name)s """, { 'table_name': table_name, }) result = cursor.fetchone()
 rowcount, = result return rowcount

执行用户表:

Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<stdin>", line 9, in count_rowspsycopg2.errors.SyntaxError: syntax error at or near "'users'"LINE 5: 'users'

该命令无法生成SQL。数据库适配器将变量视为字符串或文字，但是表名不是普通的字符串。所以这就是SQL组合的用武之地。

现在已经知道使用字符串插值表达式来编写SQL是不安全的。幸好，Psycopg提供了一个名为Psycopg的模块。帮助我们安全地编写sql查询。让我们使用psycopg.sql()重写这个函数:

from psycopg2 import sql
def count_rows(table_name: str) -> int: with connection.cursor() as cursor: stmt = sql.SQL(""" SELECT count(*) FROM {table_name} """).format( table_name = sql.Identifier(table_name), ) cursor.execute(stmt) result = cursor.fetchone()
 rowcount, = result return rowcount

现在有两个不同之处。首先，使用sql()来组合查询。然后，使用sql.Identifier()来注释参数值table_name。(标识符是列或表名。)

现在，尝试执行用户表上的函数:

>>> count_rows('users')2

接下来，让我们看看当表不存在时会发生什么:

>> count_rows('foo')Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<stdin>", line 11, in count_rowspsycopg2.errors.UndefinedTable: relation "foo" does not existLINE 5: "foo" 

该函数抛出UndefinedTable异常。在接下来的步骤中，我们将使用这个异常来表明函数不会受到Python SQL注入攻击。

为了将它们放在一起，添加一个选项来将表中的行数计数到一定的限制， 这个特性对非常大的表很有用。要实现这一点，在查询中添加一个LIMIT子句，以及LIMIT值的查询参数:

from psycopg2 import sql
def count_rows(table_name: str, limit: int) -> int: with connection.cursor() as cursor: stmt = sql.SQL(""" SELECT COUNT(*) FROM ( SELECT 1 FROM {table_name} LIMIT {limit} ) AS limit_query """).format( table_name = sql.Identifier(table_name), limit = sql.Literal(limit), ) cursor.execute(stmt) result = cursor.fetchone()
 rowcount, = result return rowcount

在这个代码块中，使用sql.Literal()注释了limit。与前面的示例一样，psycopg在使用时将所有查询参数绑定为文字。但是，在使用sql()时，需要使用sql.Identifier()或sql.Literal()显式地注释每个参数。

执行该功能，以确保运行正常:

>> count_rows('users', 1)1>>> count_rows('users', 10)2

运行正常，确保也是安全的:

>> count_rows("(select 1) as foo; update users set admin = true where name = 'haki'; --", 1)Traceback (most recent call last): File "<stdin>", line 1, in <module> File "<stdin>", line 18, in count_rowspsycopg2.errors.UndefinedTable: relation "(select 1) as foo; update users set admin = true where name = '" does not existLINE 8: "(select 1) as foo; update users set adm...

此返回显示psycopg转义了该值，并且数据库将其视为表名。由于不存在具有此名称的表，因此引发了UndefinedTable异常，攻击失败了

私信小编01 领取完整项目代码

结论

我们已经成功地实现了一个组成动态SQL的函数，系统面临Python SQL注入的风险也没有了!

我们在查询中既使用了字面值，又使用了标识符，没有影响安全性。