如何使用SQLAlchemy库写出防SQL注入的Raw SQL

最新推荐文章于 2026-06-17 09:23:03 发布
原创 最新推荐文章于 2026-06-17 09:23:03 发布 · 1w 阅读 · 1
标签
#python #sqlalchemy
本文介绍了如何使用SQLAlchemy库执行带有参数绑定的Raw SQL,以防止SQL注入攻击。通过示例展示了在insert和select操作中如何使用text对象和参数绑定,确保SQL安全性。同时强调了SQLAlchemy的connection pool特性和推荐的数据库实例管理方式。

Python阵营有很多操作数据库的开源库(安装pip后,可以借助”pip search mysql”查看可用的库列表),其中被使用最多的无疑是MySQLdb,这个库简单易上手。其偏底层的特性为开发者提供灵活性的同时,也对不少新手写出的DB操作代码提出了考验,因为它只支持raw sql,容易导致sql注入攻击。

鉴于此,很多库提供了ORM接口能力,借助OO思想,数据库中的表被映射为Python的类,类的对象代表数据表中的一行记录,所有的DB操作都通过对象方法调用来实现,这些调用在底层被自动转换成SQL语句,在转换过程中,通常会采用parameter bind的方式保证生成的parameterized SQL不存在被注入的风险

SQLAlchemy就是这样一个具备ORM能力的DB操作Python库,此外,该库还支持开发者执行raw sql,并通过其提供的text对象实现params binding,从而防护SQL注入风险。

备注1:PHP中的DB操作库(如PDO或MySQLi)支持的prepare/bind_param接口也是业界推荐的预防sql injection的方法,而escape_string只能对单/双引号等特殊字符做简单的替换,它并不能保证防御所有的危险字符。

备注2:SQLAlchemy的官方文档比较多,其架构细节可以参考SQLAlchemy at Architecture of Open Source Applications这篇文章,相信对初学者有不小的帮助。

下面的代码示例用来说明如何借助SQLAlchemy的parameters bind能力来写出能防止sql注入的raw

最低0.47元/天 解锁文章
SQLAlchemy 使用总结
热门推荐
知识小屋
01-06 1万+
使用 sqlalchemy 有3种方式: 方式1, 使用raw sql; 方式2, 使用SqlAlchemysql expression; 方式3, 使用ORM.
python使用SQLAlchemy进行mysql的ORM操作
Lucas在澳洲
06-01 571
现在很多的企业进行后端开发时,程序员在分析完业务后,会使用Java的SpringBoot或者Python的Django、Flask等网络框架进行项目开发。在这些网络框架业务逻辑代码编写的过程中,很大概率会需要使用MySQL数据,但是原生的SQL语句又存在被SQL注入的风险,而且在复杂的查询时,SQL语句也会变的复杂,可读性随之降低。这种概念是对象与关系式数据的一种映射,简单的来说就是使用类(class)来进行一个数据的映射。类名可以是表名,而类内部的属性就是数据中的字段。
SQL通配符 - 转义字符
博客
05-24 736
使用ESCAPE关键字将通配符转换成转义字符 WHERE name LIKE '%10#%' ESCAPE '#' 这样就能匹配以10%结尾的字符,其中#可被其他非通配符替代
SQLAlchemy(2.0)完全入门
Cycloctane的博客
10-12 6746
如果我们需要的数据表在原数据中不存在,而我们需要新建一个,则可以选择通过继承Table类作为表。表中的列通过在Table中传入Column实例即可定义。同时也要注意表对象是需要基于Metadata的,因此我们也需要一个metadata实例并将这个表对象注册到其中,随后这个表就可以由metadata实例借助engine在原数据中新建了。metadata,Column("id", Integer, primary_key=True), # 使用Integer类构建int数据类型。
django使用raw()执行sql语句多表查询
人无远虑,必有近忧.
09-23 6263
1.环境 python3.7 django2.2.16 mysql5.7 2.raw()的用法 raw() 执行原始sql,并返回模型实例对象。 可用于多表关联查询 返回结果必须包含实例对象对应数据表的主键 虽然返回结果是实例对象,但是对于多表关联查询,返回结果可以包含非实例对象(关联查询表)的字段属性。 3.实例 数据表:product(产品表) model_replace(产品型号替换表),两个表并没有外键关联关系,只是通过一个product_unique_sign去关联 pr
mysqldb,sqlalchemy和flask-sqlalchemy执行raw sql时如何防止sql注入
weixin_34362875的博客
11-28 816
mysqldb c=db.cursor() max_price=5 c.execute("""SELECT spam, eggs, sausage FROM breakfast WHERE price < %s""", [max_price]) sqlalchemy from sqlalchemy.sql imp...
如何清洗SQL输入数据_使用框架内置的ORM处理数据交互
2402_84461075的博客
04-20 144
ORM不XSS,前端渲染仍需转义。SQL注入风险不来自ORM本身,而来自手拼字符串用 ORM 并不自动SQL注入——只要出现 + "WHERE id = " + user_input 或 f"SELECT * FROM users WHERE name = '{name}'" 这类操作,就等于把门打开。Django ORM、SQLAlchemy、TypeORM 等主流框架的查询接口(如 filter()、where()、find())默认使用参数化查询,但前提是**你别绕过它们**。
堆叠注入原理与实战:从SQL注入到数据
weixin_30800807的博客
06-17 573
SQL注入作为Web安全领域的经典漏洞类型,其核心原理在于攻击者通过构造恶意输入,篡改应用程序与数据交互的原始查询逻辑。在众多注入技术中,堆叠注入因其能一次性执行多条SQL语句而具备更强的破坏潜力。它利用数据支持的语句分隔符(如分号),在特定条件下将额外的DDL或DML指令“堆叠”执行,从而可能实现数据窃取、结构篡改甚至系统命令执行,对应用安全构成严重威胁。理解其实现条件——包括数据支持、驱动配置与用户权限——是进行有效御和漏洞挖掘的关键。本文聚焦【堆叠注入】这一【SQL注入】高级利用技术,深入剖析
SQL注入漏洞原理与御:从数据交互到安全编码实践
最新发布
weixin_34357436的博客
06-17 408
在Web应用开发中,数据交互是核心环节,而SQL注入则是其中最常见且危害巨大的安全漏洞。其原理在于应用程序未能正确处理用户输入,导致攻击者可以篡改SQL查询逻辑,从而绕过认证、窃取数据甚至控制服务器。从技术价值看,理解SQL注入不仅有助于提升系统安全性,更是掌握Web安全基础的关键。在实际应用场景中,无论是登录验证、数据查询还是API接口,只要涉及动态SQL构造,都可能存在注入风险。本文通过分析用户输入过滤与预编译语句等核心御机制,结合**布尔盲注**和**堆叠查询**等高级攻击手法,深入探讨如何从代码
Python Flask Web开发:深入SQLAlchemy实践与安全护策略
weixin_45002431的博客
04-16 1385
Python Flask作为一款轻量级且灵活的Web框架,常与SQLAlchemy ORM结合使用,以构建高效、结构化的数据交互层。本文将详述SQLAlchemy使用方法、注意事项,并探讨如何通过最佳实践来SQL注入攻击。同时,我们将阐述Jinja2模板引擎的常规与高级用法及其安全注意事项,为Python Flask Web开发提供全面的指导。
使用sqlalchemy或者pymysql执行原始sql value中存在特殊字符的解决办法
MacwinWin的博客
08-21 1844
使用sqlalchemy或者pymysql执行原始sql语句时可能会遇到一些问题 VALUE中存在特殊字符,如引号、反斜杠等等 >>> import pymysql >>> pymysql.escape_string("'") "\\'" 所以可以在构建sql语句中进行转换: data = 'AND '.join( "`{}`='{}'".format(pymysql.escape_string(key), pymysql.escape_string(value)
【Django】执行原生SQL查询、.raw()方法执行SQL查询
走在搬砖的路上!
02-16 3803
.raw()方法的使用: django中提供了一个raw()方法来使用sql语句进行查询 class Person(models.Model): first_name = models.CharField(max_length=50) last_name = models.CharField(max_length=50) birth_date = models.DateField(max_length=50) Person.objects.raw('SELECT...
SQLAlchemy系列教程:如何防止SQL注入
neweastsun的专栏
03-07 1467
保护你的web应用程序免受SQL注入是至关重要的,使用SQLAlchemy,配备了强大的工具来防止这些攻击。请记住始终使用参数化查询,验证并清理输入,避免使用动态SQL,并使用最新版本的软件。安全编码实践不仅可以保护数据,还可以巩固应用程序的可靠性和可信赖性。
sqlalchemysql注入
weixin_30314631的博客
07-18 958
银行对安全性要求高,其中包括基本的mysql注入,因此,记录下相关使用方法: 注意:sqlalchemy自带sql注入,但是在 execute执行 手写sql时 需要考虑此安全问题 对于 where in 的sql注入:(in 的内容一定要是tuple类型,否则查询结果不对) in_str = tuple(input_list)sql = "(SELECT coun...
[Golang实战] gorm中使用Raw()和 Exec() 两种方式操作sql原生语句的特点和区别
Jing_Hua
07-08 1万+
当我在gorm中使用原生sql操作数据时,时常用raw() 和 exec() ,有时候经常遇到数据插不进去或者 数据帮i当不到结构体,原来是 这两个方法有不同的用处和特点。
Python】精通 SQLAlchemy:执行原生 SQL 语句的艺术
哈哈哈哈哈哈哈
04-14 3541
欢迎进入 SQLAlchemy 的世界,一个强大的 Python SQL 工具包和对象关系映射(ORM)系统。在本篇博客中,我们将深入探讨如何在 SQLAlchemy 中执行原生 SQL 语句,无论是出于性能考虑还是为了执行复杂的查询和操作,直接使用 SQL 语句有时是必须的。我们将一步一步地了解如何利用 SQLAlchemy 来执行原生 SQL,让你能够更加灵活地与你的数据进行交互。通过上述方法,你可以在 SQLAlchemy 中灵活地执行任何原生 SQL 语句。
基于 sqlalchemy 实现在 SQL 中动态注入通用字段的方法,从零基础到精通,收藏这篇就够了!
Javachichi的博客
03-20 1040
SQLAlchemy 的事件监听器是实现通用字段动态注入的核心机制。简单来说,事件监听器就像是数据操作的 “隐形守护者”,它可以实时监视特定的数据操作,如查询、插入、更新和删除等。并且,在这些操作发生的关键时刻,事件监听器能够自动执行我们预先设定的操作。在本文所讨论的场景中,我们主要利用before_execute事件,这个事件会在 SQL 语句执行之前被触发,这就为我们提供了一个绝佳的时机,让我们可以动态地修改 SQL 语句和参数,从而实现通用字段的注入
sqlalchemy模糊查询,搜索字段包含数据通配符的问题
qq_36447696的博客
07-21 886
今天遇到一个问题,sqlite数据表中一个字段,记录的字符串是带数据通配符的,例如"%","_"这种。于是第一步,转译了一波。想着应该是可以了,但是不出意外,出意外了,转译前%代表通配符可以检索到所有内容,转译后彻底凉了,啥都没了...sql如下。面向百度编程了一波得知,得这么写在后面定义声明一个转译符。给like后面拼上。继续面向百度编程,要说还是得官方文档。这个东西解决了问题。有了方法开干,但是,我好像tm用的orm...拼个der。可以愉快的搜索转译符了。...
sqlalchemy - sqlalchemy中执行原生sql - 传参方式避免了sql注入
SAGGITARXM
01-15 5152
def get_data_all(user_id, name, start_time, end_time, page=1, limit=10): """ sqlalchemy orm 执行原生sql语句 :return: """ try: # 项目数据列表 conditions = dict() base_s...
mysqlsqlbean,使用RawSql通过ebean执行MySQL查询时出错
weixin_34475212的博客
01-28 321
In a Play! 2.x application, I'm trying to send a simple query to a MySQL server using ebean.My complete class looks as follows:public static List search(String query) {List matches = new ArrayList();t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值