2
希望允许客户端应用程序对我们的数据库执行SQL查询。在Python中过滤针对恶意注入的SQL语句
查询将是数据请求,客户端应该永远不能修改数据。
有没有办法允许客户端发送SQL语句,然后屏蔽它进行恶意注入,然后通过数据库传递它?
我们针对PostgreSQL数据库使用Python的SQLAlchemy库。
谢谢!
A
回答
4
比试图解释恶意查询更容易的选择是创建一个具有只读权限的db用户。然后,您的最终用户将使用该帐户运行SELECT查询。您不必担心恶意插入和删除,因为“写入”查询将不被允许。您还可以进一步修改权限,以便不允许访问您不希望客户看到的数据等。
有关创建“只读”用户的一些信息,请参阅此SO question and answers。
1
使用准备好的语句时,执行SQL查询,使用sqlalchemy.sql.expression.text方法
from sqlalchemy.sql.expression import text
t = text("SELECT * FROM users WHERE id=:user_id")
result = connection.execute(t, user_id=12)
指sqlalchemy docs为text方法的全覆盖。
但保护您的应用程序免受用户定义的sql语句的影响真的很难,即使DBA块创建和编写来自用户的角色。 考虑在开始前阅读this blog post。
+0
如果我理解正确,这不允许客户指定他们自己的查询? –
+1
如果您打算允许用户创建自己的查询,则根本没有安全性。 –
相关问题
- 1. 如何从恶意词语过滤richtextbox?
- 2. 保护免受恶意的sql注入
- 3. 针对Oracle的SQL语句
- 4. 恶意JavaScript注入(Hostads.cn)
- 5. SQL选择语句过滤
- 6. SQL语句不过滤行
- 7. SQL语句过滤结果
- 8. SQL注入 - 复合语句?
- 9. SQL注入和LIKE语句
- 10. PDO不过滤SQL注入
- 11. 过滤恶意PHP代码功能
- 12. 防止SQL注入在SELECT语句
- 13. SQL Server的SELECT语句过滤
- 14. 用十六进制值伪装恶意负载的SQL注入
- 15. 工具查找注入恶意代码?
- 16. Wordpress恶意软件注入index.php模板
- 17. 恶意JavaScript注入登录页
- 18. 准备好的语句和SQL注入
- 19. 在针对SQL Server 2008运行时插入语句失败
- 20. 在python中的python sql语句优化
- 21. 视图是针对SQL Select语句还是针对任何其他语句?
- 22. SQL注入:哪些语句可以防止较好SQL注入
- 23. 过滤动态SQL语句2010
- 24. Python/pyodbc - WHERE语句过滤日期?
- 25. 针对网格运行SQL语句
- 26. 错误1064 - MySQL中针对INSERT语句的SQL语法
- 27. 针对SQL注入的建议
- 28. SQL注入和预处理语句
- 29. SQL注入和预处理语句
- 30. C#阻止SQL注入创建语句
但是这样做并不能阻止恶意用户访问更多的数据库,而不是他应该的。 – Mikael