sql注入只要拼接字符串就必然存在风险;防御必须严格使用参数化查询,orm的filter()等安全,但raw()、extra()及f-string拼接均高危,且不同数据库驱动占位符语法不可混用。
SQL注入不是“可能出问题”,而是只要拼接字符串就一定会出问题——哪怕只在日志里打印一次用户输入后又塞进 cursor.execute(),风险就已经存在。
Django 或 SQLAlchemy 的常规查询方法(如 User.objects.filter(username=username)、session.query(User).filter(User.name == name))底层自动走参数化,你传进去的变量不会被解释为 SQL 结构。
但一旦调用:
- Django 的
extra()、raw()、annotate()中嵌入字符串表达式 - SQLAlchemy 的
text()、select().where(text("…")) - 或任何带
f-string、%、+拼接的 SQL 片段
那就等于亲手拆掉防护网。比如:
qs = User.objects.extra(where=["username = ‘%s’" % request.GET.get(‘u’)]) —— 这行代码和裸写 execute() 一样危险。
关键判断点:只要 SQL 字符串里出现了单引号包裹的变量、或用了 Python 字符串格式化,就不是参数化,就是高危。
不同驱动对参数占位符的语法要求不同,硬写错一个符号就会绕过参数化机制,变成拼接:
-
sqlite3只认?或命名参数:name,不支持%s -
psycopg2(PostgreSQL)只认%s(位置)或%(name)s(命名),不支持? -
pymysql(MySQL)只认%s,且必须是英文百分号,不能是中文或全角
常见错误:
cursor.execute("SELECT * FROM users WHERE id = ?", (user_id,)) —— 在 PostgreSQL 上会报 TypeError: not all arguments converted,但更糟的是:有人发现报错后,顺手改成 "%s" 并继续用字符串拼接,以为“只是语法问题”。
正确做法是查清驱动文档,严格匹配占位符;别靠猜,也别复用其他数据库的写法。
哪怕你只查一个字段、只传一个参数,只要用了字符串格式化,就等于把门钥匙交给攻击者:
❌ 错误:cursor.execute(f"SELECT * FROM logs WHERE ip = ‘{ip}’")
❌ 错误:cursor.execute("SELECT * FROM logs WHERE ip = ‘{}’".format(ip))
✅ 正确:cursor.execute("SELECT * FROM logs WHERE ip = %s", (ip,))(psycopg2)
✅ 正确:cursor.execute("SELECT * FROM logs WHERE ip = ?", (ip,))(sqlite3)
注意:
- 参数必须是元组或列表,单个值记得加逗号:
(ip,),不是(ip)(后者是括号,不是元组) - 占位符不能出现在表名、列名、ORDER BY 子句中——这些地方无法参数化,需白名单校验或
re.match(r’^[a-zA-Z][a-zA-Z0-9]*$‘, user_input)严格过滤
网上有些“防注入工具函数”像这样:
def escape_sql(s): return s.replace("’", "“").replace(’"’, ‘""’)
这只能应付极简场景,且对 PostgreSQL 的 $$ 块、MySQL 的反引号标识符、Unicode 引号变体完全无效。更严重的是:它给人“已防护”的错觉,反而掩盖了真正该用参数化的地方。
真正的边界很清晰:
- 表名/列名/排序方向 → 白名单控制(例如
if order_field not in (‘created_at’, ‘score’): raise Http404) - 动态条件字段 → 用 ORM 的
Q对象组合,或预定义 SQL 模板 + 参数化值部分 - 其他一切数据值 → 只走驱动原生参数化接口,不碰字符串拼接
参数化不是“可选项”,是唯一经过验证的防御路径。任何绕开它的“转义”“过滤”“替换”,都只是给漏洞披了层薄纱。
Python免费学习笔记(深入):立即使用
在学习笔记中,你将探索 Python 的核心概念和高级技巧!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/272648.html