지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
백엔드 개발 파이썬 튜토리얼 django에서 SQL 주입을 피하는 방법

django에서 SQL 주입을 피하는 방법

(*-*)浩
(*-*)浩
May 09, 2019 am 09:54 AM
python

Django에서 SQL 삽입을 방지하는 방법: 1. 사용자 입력을 확인합니다. 2. SQL의 동적 어셈블리를 사용하지 않습니다. 3. 기밀 정보를 직접 저장하지 않습니다. 4. 응용 프로그램 예외 정보는 가능한 한 적게 제공해야 합니다. . SQL 주입을 효과적으로 방지하려면 Dajngo의 ORM을 사용하세요.

django에서 SQL 주입을 피하는 방법

SQL 주입이란 무엇인가요?

소위 SQL 주입이란 웹 양식 제출에 SQL 명령을 삽입하거나 도메인 이름이나 페이지 요청에 대한 쿼리 문자열을 입력하여 궁극적으로 서버를 속여 악성 SQL 명령을 실행하도록 하는 것입니다. 구체적으로는 기존 애플리케이션을 이용해 백엔드 데이터베이스 엔진에 (악의적인) SQL 명령을 주입해 실행하는 기능이다. 오히려 웹 폼에 (악의적인) SQL 문을 입력해 보안 취약점이 있는 웹사이트의 정보를 얻을 수 있다. 디자이너가 의도한 대로 SQL 문을 실행하는 것보다 예를 들어, 이전의 많은 영화 및 TV 웹사이트에서는 주로 웹 양식을 통해 쿼리 문자를 제출하여 VIP 회원 비밀번호를 유출했습니다. 이러한 양식은 특히 SQL 삽입 공격에 취약합니다.

예를 들어, 현재 데이터베이스에 front_user 테이블이 있습니다. 테이블 구조는 다음과 같습니다. 

class User(models.Model): telephone = models.CharField(max_length=11) username = models.CharField(max_length=100)
 password = models.CharField(max_length=100)
로그인 후 복사

그런 다음 기본 SQL 문을 사용하여 다음 요구 사항을 달성합니다.

1. 사용자 ID를 기반으로 합니다. 샘플 코드는 다음과 같습니다. 

def index(request): user_id = request.GET.get('user_id') cursor = connection.cursor() cursor.execute('select 
id,username from front_user where id=%s' % user_id) rows = cursor.fetchall() for row in rows: print(row) 
return HttpResponse('success')
로그인 후 복사

표면적으로는 문제가 없어 보입니다. 하지만 사용자가 전달한 user_id가 1 또는 1=1인 경우 위의 스플라이스된 ​​sql 문은 다음과 같습니다. 

select id,username from front_user where id=1 or 1=1
로그인 후 복사

위 sql 문의 조건은 id=1 또는 1=1입니다. =1 또는 1=1 둘 중 하나가 성립하면 전체 조건이 성립됩니다. 1=1

이 확실히 확립되어 있다는 것은 의심의 여지가 없습니다. 따라서 위의 SQL 문을 실행하면 front_user 테이블의 모든 데이터가 추출됩니다.

2. 사용자 이름을 기준으로 사용자를 추출하는 뷰를 구현합니다. 샘플 코드는 다음과 같습니다. 

def index(request): username = request.GET.get('username') cursor = connection.cursor() cursor.execute('select 
id,username from front_user where username='%s'' % username) rows = cursor.fetchall() for row in rows: print(row) 
return HttpResponse('success')
로그인 후 복사

표면적으로는 문제가 없어 보입니다. 하지만 사용자가 전달한 사용자 이름이 zhiliao' 또는 '1=1인 경우 위의 스플라이싱된 ​​sql 문은 다음과 같습니다. 

select id,username from front_user where username='zhiliao' or '1=1'
로그인 후 복사

위 sql 문의 조건은 사용자 이름='zhiliao' 또는 문자열이 없습니다. 문자열이 의심 스럽다는 판단이 확실히 확립되었습니다. 따라서 front_user 테이블의 모든 데이터가 추출됩니다.

SQL 주입 방어는 다음과 같은 점으로 구분할 수 있습니다.

이상은 SQL 주입의 원리입니다. 그는 자신의 목표를 달성하기 위해 일부 악의적인 매개변수를 전달하여 원본 SQL 문을 파괴합니다. 물론 SQL 주입은 결코 단순하지 않으며 지금 우리가 말하는 것은 빙산의 일각에 불과합니다. 그렇다면 SQL 주입을 방지하는 방법은 무엇입니까?

1. 사용자 입력을 절대 신뢰하지 마세요. 사용자의 입력을 확인하려면 정규식을 사용하거나 작은따옴표와 큰따옴표 등을 변환하여 길이를 제한할 수 있습니다.

2. SQL의 동적 어셈블리를 사용하지 마세요. 매개변수화된 SQL을 사용하거나 데이터 쿼리 및 액세스에 저장 프로시저를 직접 사용할 수 있습니다. 예: 

def index(request): user_id = '1 or 1=1' cursor = connection.cursor() cursor.execute('select id,username from 
front_user where id=%s',(user_id,)) rows = cursor.fetchall() for row in rows: print(row) return HttpResponse('success')
로그인 후 복사

3. 관리자 권한으로 데이터베이스 연결을 사용하지 마십시오. 각 애플리케이션에 대해 제한된 권한을 가진 별도의 데이터베이스 연결을 사용하십시오.

4. 기밀 정보를 직접 저장하지 말고 비밀번호와 민감한 정보를 암호화하거나 해시하지 마세요.

5. 애플리케이션의 예외 정보는 가능한 한 적은 힌트를 제공해야 합니다. 사용자 정의 오류 정보를 사용하여 원래 오류 정보를 래핑하는 것이 가장 좋습니다.

요약:

1. 웹 페이지에서 삽입 공격을 수행하려면 SQL 문을 사용하세요. 웹 페이지는 사용자 입력 매개 변수를 얻지만 일부 악의적인 사용자는 백엔드가 매개 변수를 판단하지 않고 매개 변수를 가져오는 경우 특수 SQL 문을 사용합니다. 정확성과 적법성, 데이터베이스에 해를 끼칠 수 있습니다

2. get 및 post로 데이터를 업로드할 때 매개변수를 확인하세요

3. Dajngo의 ORM을 사용하면 Django에서 특수 문자를 이스케이프 처리했기 때문에 SQL 삽입을 효과적으로 피할 수 있습니다.

위 내용은 django에서 SQL 주입을 피하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

더보기

인기 기사

R.E.P.O. 에너지 결정과 그들이하는 일 (노란색 크리스탈)
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. 최고의 그래픽 설정
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
어 ass 신 크리드 그림자 : 조개 수수께끼 솔루션
2 몇 주 전 By DDD
R.E.P.O. 아무도들을 수없는 경우 오디오를 수정하는 방법
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25 : Myrise에서 모든 것을 잠금 해제하는 방법
3 몇 주 전 By 尊渡假赌尊渡假赌尊渡假赌
더보기

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

더보기

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?
7467
15
Cakephp 튜토리얼
1376
52
Steam의 계정 이름 형식은 무엇입니까?
77
11
Win11 활성화 키 영구
45
19
NYT 연결 힌트와 답변
18
19
더보기
Related knowledge
PS 페더 링은 어떻게 전환의 부드러움을 제어합니까? PS 페더 링은 어떻게 전환의 부드러움을 제어합니까? Apr 06, 2025 pm 07:33 PM

깃털 통제의 열쇠는 점진적인 성격을 이해하는 것입니다. PS 자체는 그라디언트 곡선을 직접 제어하는 ​​옵션을 제공하지 않지만 여러 깃털, 일치하는 마스크 및 미세 선택으로 반경 및 구배 소프트를 유연하게 조정하여 자연스럽게 전이 효과를 달성 할 수 있습니다.

설치 후 MySQL을 사용하는 방법 설치 후 MySQL을 사용하는 방법 Apr 08, 2025 am 11:48 AM

이 기사는 MySQL 데이터베이스의 작동을 소개합니다. 먼저 MySQLworkBench 또는 명령 줄 클라이언트와 같은 MySQL 클라이언트를 설치해야합니다. 1. MySQL-Uroot-P 명령을 사용하여 서버에 연결하고 루트 계정 암호로 로그인하십시오. 2. CreateABase를 사용하여 데이터베이스를 작성하고 데이터베이스를 선택하십시오. 3. CreateTable을 사용하여 테이블을 만들고 필드 및 데이터 유형을 정의하십시오. 4. InsertInto를 사용하여 데이터를 삽입하고 데이터를 쿼리하고 업데이트를 통해 데이터를 업데이트하고 DELETE를 통해 데이터를 삭제하십시오. 이러한 단계를 마스터하고 일반적인 문제를 처리하는 법을 배우고 데이터베이스 성능을 최적화하면 MySQL을 효율적으로 사용할 수 있습니다.

MySQL은 지불해야합니다 MySQL은 지불해야합니다 Apr 08, 2025 pm 05:36 PM

MySQL에는 무료 커뮤니티 버전과 유료 엔터프라이즈 버전이 있습니다. 커뮤니티 버전은 무료로 사용 및 수정할 수 있지만 지원은 제한되어 있으며 안정성이 낮은 응용 프로그램에 적합하며 기술 기능이 강합니다. Enterprise Edition은 안정적이고 신뢰할 수있는 고성능 데이터베이스가 필요하고 지원 비용을 기꺼이 지불하는 응용 프로그램에 대한 포괄적 인 상업적 지원을 제공합니다. 버전을 선택할 때 고려 된 요소에는 응용 프로그램 중요도, 예산 책정 및 기술 기술이 포함됩니다. 완벽한 옵션은없고 가장 적합한 옵션 만 있으므로 특정 상황에 따라 신중하게 선택해야합니다.

PS 페더 링을 설정하는 방법? PS 페더 링을 설정하는 방법? Apr 06, 2025 pm 07:36 PM

PS 페더 링은 이미지 가장자리 블러 효과로, 가장자리 영역에서 픽셀의 가중 평균에 의해 달성됩니다. 깃털 반경을 설정하면 흐림 정도를 제어 할 수 있으며 값이 클수록 흐려집니다. 반경을 유연하게 조정하면 이미지와 요구에 따라 효과를 최적화 할 수 있습니다. 예를 들어, 캐릭터 사진을 처리 할 때 더 작은 반경을 사용하여 세부 사항을 유지하고 더 큰 반경을 사용하여 예술을 처리 할 때 흐릿한 느낌을줍니다. 그러나 반경이 너무 커서 가장자리 세부 사항을 쉽게 잃을 수 있으며 너무 작아 효과는 분명하지 않습니다. 깃털 효과는 이미지 해상도의 영향을받으며 이미지 이해 및 효과 파악에 따라 조정해야합니다.

MySQL 설치 후 데이터베이스 성능을 최적화하는 방법 MySQL 설치 후 데이터베이스 성능을 최적화하는 방법 Apr 08, 2025 am 11:36 AM

MySQL 성능 최적화는 설치 구성, 인덱싱 및 쿼리 최적화, 모니터링 및 튜닝의 세 가지 측면에서 시작해야합니다. 1. 설치 후 innodb_buffer_pool_size 매개 변수와 같은 서버 구성에 따라 my.cnf 파일을 조정해야합니다. 2. 과도한 인덱스를 피하기 위해 적절한 색인을 작성하고 Execution 명령을 사용하여 실행 계획을 분석하는 것과 같은 쿼리 문을 최적화합니다. 3. MySQL의 자체 모니터링 도구 (showprocesslist, showstatus)를 사용하여 데이터베이스 건강을 모니터링하고 정기적으로 백업 및 데이터베이스를 구성하십시오. 이러한 단계를 지속적으로 최적화함으로써 MySQL 데이터베이스의 성능을 향상시킬 수 있습니다.

고로드 애플리케이션의 MySQL 성능을 최적화하는 방법은 무엇입니까? 고로드 애플리케이션의 MySQL 성능을 최적화하는 방법은 무엇입니까? Apr 08, 2025 pm 06:03 PM

MySQL 데이터베이스 성능 최적화 안내서 리소스 집약적 응용 프로그램에서 MySQL 데이터베이스는 중요한 역할을 수행하며 대규모 트랜잭션 관리를 담당합니다. 그러나 응용 프로그램 규모가 확장됨에 따라 데이터베이스 성능 병목 현상은 종종 제약이됩니다. 이 기사는 일련의 효과적인 MySQL 성능 최적화 전략을 탐색하여 응용 프로그램이 고 부하에서 효율적이고 반응이 유지되도록합니다. 실제 사례를 결합하여 인덱싱, 쿼리 최적화, 데이터베이스 설계 및 캐싱과 같은 심층적 인 주요 기술을 설명합니다. 1. 데이터베이스 아키텍처 설계 및 최적화 된 데이터베이스 아키텍처는 MySQL 성능 최적화의 초석입니다. 몇 가지 핵심 원칙은 다음과 같습니다. 올바른 데이터 유형을 선택하고 요구 사항을 충족하는 가장 작은 데이터 유형을 선택하면 저장 공간을 절약 할 수있을뿐만 아니라 데이터 처리 속도를 향상시킬 수 있습니다.

MySQL 설치 후 시작할 수없는 서비스에 대한 솔루션 MySQL 설치 후 시작할 수없는 서비스에 대한 솔루션 Apr 08, 2025 am 11:18 AM

MySQL이 시작을 거부 했습니까? 당황하지 말고 확인합시다! 많은 친구들이 MySQL을 설치 한 후 서비스를 시작할 수 없다는 것을 알았으며 너무 불안했습니다! 걱정하지 마십시오.이 기사는 침착하게 다루고 그 뒤에있는 마스터 마인드를 찾을 수 있습니다! 그것을 읽은 후에는이 문제를 해결할뿐만 아니라 MySQL 서비스에 대한 이해와 문제 해결 문제에 대한 아이디어를 향상시키고보다 강력한 데이터베이스 관리자가 될 수 있습니다! MySQL 서비스는 시작되지 않았으며 간단한 구성 오류에서 복잡한 시스템 문제에 이르기까지 여러 가지 이유가 있습니다. 가장 일반적인 측면부터 시작하겠습니다. 기본 지식 : 서비스 시작 프로세스 MySQL 서비스 시작에 대한 간단한 설명. 간단히 말해서 운영 체제는 MySQL 관련 파일을로드 한 다음 MySQL 데몬을 시작합니다. 여기에는 구성이 포함됩니다

다운로드 후 MySQL을 설치할 수 없습니다 다운로드 후 MySQL을 설치할 수 없습니다 Apr 08, 2025 am 11:24 AM

MySQL 설치 실패의 주된 이유는 다음과 같습니다. 1. 권한 문제, 관리자로 실행하거나 Sudo 명령을 사용해야합니다. 2. 종속성이 누락되었으며 관련 개발 패키지를 설치해야합니다. 3. 포트 충돌, 포트 3306을 차지하는 프로그램을 닫거나 구성 파일을 수정해야합니다. 4. 설치 패키지가 손상되어 무결성을 다운로드하여 확인해야합니다. 5. 환경 변수가 잘못 구성되었으며 운영 체제에 따라 환경 변수를 올바르게 구성해야합니다. 이러한 문제를 해결하고 각 단계를 신중하게 확인하여 MySQL을 성공적으로 설치하십시오.

See all articles