我的 python 应用程序允许用户创建其命名模式。我需要一种方法来保护应用程序免受 SQL 注入。
要执行的SQL读取
CREATE SCHEMA schema_name AUTHORIZATION user_name;
psycopg 文档(通常)建议像这样传递参数来执行
conn = psycopg2.connect("dbname=test user=postgres")
cur = conn.cursor()
query = 'CREATE SCHEMA IF NOT EXISTS %s AUTHORIZATION %s;'
params = ('schema_name', 'user_name')
cur.execute(query, params)
但这会导致带有单引号的查询失败:
CREATE SCHEMA 'schema_name' AUTHORIZATION 'user_name';
> fail
有没有办法删除引号,或者我应该只是从架构名称中删除非字母数字字符并收工?后者看起来有点丑陋,但应该仍然有效。
要传递标识符,请使用AsIs http://initd.org/psycopg/docs/extensions.html#psycopg2.extensions.AsIs。但这会暴露 SQL 注入:
import psycopg2
from psycopg2.extensions import AsIs
conn = psycopg2.connect(database='cpn')
cursor = conn.cursor()
query = """CREATE SCHEMA %s AUTHORIZATION %s;"""
param = (AsIs('u1'), AsIs('u1; select * from user_table'))
print cursor.mogrify(query, param)
Output:
CREATE SCHEMA u1 AUTHORIZATION u1; select * from user_table;
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
