关于 Python 配合 SQL 注入漏洞的问题

2018-12-24 00:34:03 +08:00

jianzhao123

楼主目前在校学生非计算机专业，最近面了学校网络中心一个岗位，面试老师让我做一个 Python 的网络安全项目，目前在用 SQL 搞，由于新手使用 SQL，想问下大佬，目前判断能不能注入漏洞还能用’或是 and 1=1 了吗？还有就是有没有其他替换 SQL 用别的办法的建议，谢谢各位。

1966 次点击

所在节点

9 条回复

BBge

2018-12-24 01:03:38 +08:00

上 sqlmap

yanaraika

2018-12-24 04:31:56 +08:00

prepare 或者用 orm

KgM4gLtF0shViDH3

2018-12-24 07:27:54 +08:00

把 sqlmap 学精了就好

wzw

2018-12-24 07:30:45 +08:00

是不是用 nosql 数据库就没注入问题了？

clino

2018-12-24 07:35:00 +08:00

研究下 orm 比如 sqlalchemy 是如何防止的是不是也能参考下？

jianzhao123

2018-12-24 08:02:00 +08:00

谢谢大家，老师的意思大概是让我用 python 把链接爬下来，SQL 注入漏洞的不是关键问题，毕竟我非计算机专业(逃🙃🙃🙃)

co3site

2018-12-24 08:04:34 +08:00

不同的过滤规则，注入的形式就千奇百怪了，用好 sqlmap 就行了。又不是面试工作，随便做个子域名爆破、CMS 漏洞检测就好了

msg7086

2018-12-24 09:20:17 +08:00

第一条规则，不要把输入参数拼进 SQL 查询。

whoami9894

2018-12-24 09:40:10 +08:00

@wzw

一样能注，比如 mongodb 用 php get 传参:
username[$ne]=a&passwd[$ne]=b

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.