当前位置:首页 > 数码 > 打造安保的Python运行程序-从零到SQL注入防护巨匠 (安保举措)

打造安保的Python运行程序-从零到SQL注入防护巨匠 (安保举措)

admin8个月前 (04-18)数码28
从零到SQL注入防护巨匠

当触及到与数据库交互时,防止SQL注入攻打是十分关键的。SQL注入是一种经常出现的网络安保破绽,攻打者经过在用户输入的数据中注入恶意的SQL代码,从而可以口头未经授权的数据库操作。为了包全运行程序免受SQL注入攻打,你可以采取以下措施:

经常使用参数化查问(PreparedStatements):最有效的防止SQL注入的方法之一是经常使用参数化查问。参数化查问经常使用占位符(例如,问号或命名占位符)替代间接将用户输入嵌入到SQL语句中。数据库系统会智能处置输入参数,并确保输入不会被解释为SQL代码。

上方是一个经常使用参数化查问的示例(经常使用/target=_blankclass=infotextkey>Python的SQLite库):

importsqlite3conn=sqlite3.connect('mydatabase.db')cursor=conn.cursor()#经常使用问号占位符username=input("请输入用户名:")pass=input("请输入明码:")cursor.execute("SELECT*FROMusersWHEREusername=?ANDpassword=?",(username,password))result=cursor.fetchone()ifresult:print("登录成功")else:print("用户名或明码失误")conn.close()

输入验证和过滤: 在接受用户输入之前,启动输入验证和过滤是一个关键的步骤。确保只接受有效的输入,并对输入启动适当的过滤和清算。例如,移除输入中的不凡字符或SQL关键字,或经常使用白名单验证输入的格局。

上方是一个便捷的输入过滤示例(经常使用Python的re模块):

importredefsanitize_input(input_string):#移除不凡字符sanitized_string=re.sub(r"[^a-zA-Z0-9s]","",input_string)returnsanitized_stringusername=input("请输入用户名:")sanitized_username=sanitize_input(username)

请留意,输入验证和过滤不能替代参数化查问,而是作为额外的安保层。

最小权限准则: 确保运行程序衔接数据库时经常使用的数据库账户具备最小的权限。限度账户对数据库的访问权限可以减轻潜在的攻打危险。不要使用具备超级用户权限的数据库账户来口头惯例操作。

日志记载和监控: 实施日志记载和监控机制可以协助你检测和照应SQL注入攻打。记载运行程序与数据库之间的一切交互,并活期审核日志以发现意外行为。

活期降级和修补: 确保你经常使用的数据库系统和关系库坚持最新,并及时运行安保补丁。数据库供应商理论会颁布针对已知破绽的修复程序,及时降级可以防止潜在的攻打。

经过采取这些措施,你可以大大缩小运行程序遭到SQL注入攻打的危险。始终学习和了解最新的安保要挟和防护方法也是包全运行程序安保的关键方面。


Python常见的漏洞都有什么?

首先是解析XML漏洞。如果您的应用程序加载和解析XML文件,那么您可能正在使用XML标准库模块。有一些针对XML的常见攻击。大多数是DoS风格(旨在破坏系统而不是窃取数据)。这些攻击很常见,尤其是在解析外部(即不受信任的)XML文件时。一种这样的攻击是“十亿笑”,因为加载的文件包含许多(十亿)“笑”。您可以加载XML实体文件,当XML解析器尝试将此XML文件加载到内存中时,它将消耗许多GB的内存。

其次是SQL注入漏洞。SQL注入漏洞的原因是用户输入直接拼接到SQL查询语句中。在pythonweb应用程序中,orm库一般用于数据库相关的操作。例如,Flask和Tornado经常使用SQLAlchemy,而Django有自己的orm引擎。.但是如果不使用ORM,直接拼接SQL语句,就有SQL注入的风险。

再者是输入函数漏洞。在Python2的大量内置特性中,输入是一场彻底的安全灾难。一旦调用它,从标准输入读取的任何内容都会立即解析为Python代码,显然,除非脚本的标准输入中的数据完全可信,否则决不能使用输入函数。Python2文档建议将rawinput作为安全的替代方案。在Python3中,input函数等价于rawinput,一劳永逸地解决了这个陷阱。

要知道SSTI是ServerSideTemplateInjection,是Web开发中使用的模板引擎。模板引擎可以将用户界面和业务数据分离,逻辑代码和业务代码也可以相应分离,代码复用变得简单,开发效率也提高了。模板在服务器端使用,数据由模板引擎渲染,然后传递给用户,可以为特定用户/特定参数生成对应的页面。我们可以对比一下网络搜索,搜索不同词条得到的结果页面是不一样的,但是页面的边框基本是一样的。

要成为一名专业的程序员,从零开始需要怎么一步步来比较好,要把最底层的先学精通吗?(个人认为)求学长

前言你是否觉得自己从学校毕业的时候只做过小玩具一样的程序?走入职场后哪怕没有什么经验也可以把以下这些课外练习走一遍(朋友的抱怨:学校课程总是从理论出发,作业项目都看不出有什么实际作用,不如从工作中的需求出发)建议:不要乱买书,不要乱追新技术新名词,基础的东西经过很长时间积累而且还会在未来至少10年通用。 回顾一下历史,看看历史上时间线上技术的发展,你才能明白明天会是什么样。 一定要动手,例子不管多么简单,建议至少自己手敲一遍看看是否理解了里头的细枝末节。 一定要学会思考,思考为什么要这样,而不是那样。 还要举一反三地思考。 注:你也许会很奇怪为什么下面的东西很偏Unix/Linux,这是因为我觉得Windows下的编程可能会在未来很没有前途,原因如下:现在的用户界面几乎被两个东西主宰了,1)Web,2)移动设备iOS或Android。 Windows的图形界面不吃香了。 越来越多的企业在用成本低性能高的Linux和各种开源技术来构架其系统,Windows的成本太高了。 微软的东西变得太快了,很不持久,他们完全是在玩弄程序员。 详情参见《Windows编程革命史》所以,我个人认为以后的趋势是前端是Web+移动,后端是Linux+开源。 开发这边基本上没Windows什么事。 启蒙入门1、 学习一门脚本语言,例如Python/Ruby可以让你摆脱对底层语言的恐惧感,脚本语言可以让你很快开发出能用得上的小程序。 实践项目:处理文本文件,或者csv (关键词 python csv, python open, python sys) 读一个本地文件,逐行处理(例如 word count,或者处理log)遍历本地文件系统 (sys, os, path),例如写一个程序统计一个目录下所有文件大小并按各种条件排序并保存结果跟数据库打交道 (python sqlite),写一个小脚本统计数据库里条目数量学会用各种print之类简单粗暴的方式进行调试学会用Google (phrase, domain, use reader to follow tech blogs)为什么要学脚本语言,因为他们实在是太方便了,很多时候我们需要写点小工具或是脚本来帮我们解决问题,你就会发现正规的编程语言太难用了。 2、 用熟一种程序员的编辑器(不是IDE) 和一些基本工具Vim / Emacs / Notepad++,学会如何配置代码补全,外观,外部命令等。 Source Insight (或 ctag)使用这些东西不是为了Cool,而是这些编辑器在查看、修改代码/配置文章/日志会更快更有效率。 3、 熟悉Unix/Linux Shell和常见的命令行如果你用windows,至少学会用虚拟机里的linux, vmware player是免费的,装个Ubuntu吧一定要少用少用图形界面。 学会使用man来查看帮助文件系统结构和基本操作 ls/chmod/chown/rm/find/ln/cat/mount/mkdir/tar/gzip …学会使用一些文本操作命令 sed/awk/grep/tail/less/more …学会使用一些管理命令 ps/top/lsof/netstat/kill/tcpdump/iptables/dd…了解/etc目录下的各种配置文章,学会查看/var/log下的系统日志,以及/proc下的系统运行信息了解正则表达式,使用正则表达式来查找文件。 对于程序员来说Unix/Linux比Windows简单多了。 (参看我四年前CSDN的博文《其实Unix很简单》)学会使用Unix/Linux你会发现图形界面在某些时候实在是太难用了,相当地相当地降低工作效率。 4、 学习Web基础(HTML/CSS/JS) + 服务器端技术 (LAMP)未来必然是Web的世界,学习WEB基础的最佳网站是W3School。 学习HTML基本语法学习CSS如何选中HTML元素并应用一些基本样式(关键词:box model)学会用 Firefox + Firebug 或 chrome 查看你觉得很炫的网页结构,并动态修改。 学习使用Javascript操纵HTML元件。 理解DOM和动态网页(Dynamic HTML: The Definitive Reference, 3rd Edition - OReilly Media) 网上有免费的章节,足够用了。 或参看 DOM 。 学会用 Firefox + Firebug 或 chrome 调试Javascript代码(设置断点,查看变量,性能,控制台等)在一台机器上配置Apache 或 Nginx学习PHP,让后台PHP和前台HTML进行数据交互,对服务器相应浏览器请求形成初步认识。 实现一个表单提交和反显的功能。 把PHP连接本地或者远程数据库 MySQL(MySQL 和 SQL现学现用够了)跟完一个名校的网络编程课程(例如:~ouster/cgi-bin/cs142-fall10/ ) 不要觉得需要多于一学期时间,大学生是全职一学期选3-5门课,你业余时间一定可以跟上学习一个javascript库(例如jQuery 或 ExtJS)+ Ajax (异步读入一个服务器端图片或者数据库内容)+JSON数据格式。 HTTP: The Definitive Guide 读完前4章你就明白你每天上网用浏览器的时候发生的事情了(proxy, gateway, browsers)做个小网站(例如:一个小的留言板,支持用户登录,Cookie/Session,增、删、改、查,上传图片附件,分页显示)买个域名,租个空间,做个自己的网站。 进阶加深1、 C语言和操作系统调用重新学C语言,理解指针和内存模型,用C语言实现一下各种经典的算法和数据结构。 推荐《计算机程序设计艺术》、《算法导论》和《编程珠玑》。 学习(麻省理工免费课程)计算机科学和编程导论学习(麻省理工免费课程)C语言内存管理学习Unix/Linux系统调用(Unix高级环境编程),,了解系统层面的东西。 用这些系统知识操作一下文件系统,用户(实现一个可以拷贝目录树的小程序)用fork/wait/waitpid写一个多进程的程序,用pthread写一个多线程带同步或互斥的程序。 多进程多进程购票的程序。 用signal/kill/raise/alarm/pause/sigprocmask实现一个多进程间的信号量通信的程序。 学会使用gcc和gdb来编程和调试程序(参看我的《用gdb调试程序》)学会使用makefile来编译程序。 (参看我的《跟我一起写makefile》)IPC和Socket的东西可以放到高级中来实践。 学习Windows SDK编程(Windows 程序设计 ,MFC程序设计)写一个窗口,了解WinMain/WinProcedure,以及Windows的消息机制。 写一些程序来操作Windows SDK中的资源文件或是各种图形控件,以及作图的编程。 学习如何使用MSDN查看相关的SDK函数,各种WM_消息以及一些例程。 这本书中有很多例程,在实践中请不要照抄,试着自己写一个自己的例程。 不用太多于精通这些东西,因为GUI正在被Web取代,主要是了解一下Windows 图形界面的编程。 @virushuo 说:“ 我觉得GUI确实不那么热门了,但充分理解GUI工作原理是很重要的。 包括移动设备开发,如果没有基础知识仍然很吃力。 或者说移动设备开发必须理解GUI工作,或者在win那边学,或者在mac/iOS上学”。 2、学习JavaJava 的学习主要是看经典的Core Java 《Java 核心技术编程》和《Java编程思想》(有两卷,我仅链了第一卷,足够了,因为Java的图形界面了解就可以了)学习JDK,学会查阅Java API Doc Java Platform SE 6了解一下Java这种虚拟机语言和C和Python语言在编译和执行上的差别。 从C、Java、Python思考一下“跨平台”这种技术。 学会使用IDE Eclipse,使用Eclipse 编译,调试和开发Java程序。 建一个Tomcat的网站,尝试一下JSP/Servlet/JDBC/MySQL的Web开发。 把前面所说的那个PHP的小项目试着用JSP和Servlet实现一下。 3、Web的安全与架构学习HTML5,网上有很多很多教程,以前酷壳也介绍过很多,我在这里就不罗列了。 学习Web开发的安全问题(参考新浪微博被攻击的这个事,以及Ruby的这篇文章)学习HTTP Server的rewrite机制,Nginx的反向代理机制,fast-cgi(如:PHP-FPM)学习Web的静态页面缓存技术。 学习Web的异步工作流处理,数据Cache,数据分区,负载均衡,水平扩展的构架。 实践任务:使用HTML5的canvas 制作一些Web动画。 尝试在前面开发过的那个Web应用中进行SQL注入,JS注入,以及XSS攻击。 把前面开发过的那个Web应用改成构造在Nginx + PHP-FPM + 静态页面缓存的网站4、学习关系型数据库你可以安装MSSQLServer或MySQL来学习数据库。 学习教科书里数据库设计的那几个范式,1NF,2NF,3NF,……学习数据库的存过,触发器,视图,建索引,游标等。 学习SQL语句,明白表连接的各种概念(参看《SQL Join的图示》)学习如何优化数据库查询(参看《MySQL的优化》)实践任务:设计一个论坛的数据库,至少满足3NF,使用SQL语句查询本周,本月的最新文章,评论最多的文章,最活跃用户。 5、一些开发工具学会使用SVN或Git来管理程序版本。 学会使用JUnit来对Java进行单元测试。 学习C语言和Java语言的coding standard 或 coding guideline。 (我N年前写过一篇关C语言非常简单的文章——《编程修养》,这样的东西你可以上网查一下,一大堆)。 推荐阅读《代码大全》《重构》《代码整洁之道》高级深入1、C++ / Java 和面向对象我个人以为学好C++,Java也就是举手之劳。 但是C++的学习曲线相当的陡。 不过,我觉得C++是最需要学好的语言了。 参看两篇趣文“C++学习信心图” 和“21天学好C++”学习(麻省理工免费课程)C++面向对象编程读我的 “如何学好C++”中所推荐的那些书至少两遍以上(如果你对C++的理解能够深入到像我所写的《C++虚函数表解析》或是《C++对象内存存局(上)(下)》,或是《C/C++返回内部静态成员的陷阱》那就非常不错了)然后反思为什么C++要干成这样,Java则不是?你一定要学会对比C++和Java的不同。 比如,Java中的初始化,废品回收,接口,异常,虚函数,等等。 实践任务:用C++实现一个BigInt,支持128位的整形的加减乘除的操作。 用C++封装一个数据结构的容量,比如hash table。 用C++封装并实现一个智能指针(一定要使用模板)。 《设计模式》必需一读,两遍以上,思考一下,这23个模式的应用场景。 主要是两点:1)钟爱组合而不是继承,2)钟爱接口而不是实现。 (也推荐《深入浅出设计模式》)实践任务:使用工厂模式实现一个内存池。 使用策略模式制做一个类其可以把文本文件进行左对齐,右对齐和中对齐。 使用命令模式实现一个命令行计算器,并支持undo和redo。 使用修饰模式实现一个酒店的房间价格订价策略——旺季,服务,VIP、旅行团、等影响价格的因素。 学习STL的用法和其设计概念 - 容器,算法,迭代器,函数子。 如果可能,请读一下其源码。 实践任务:尝试使用面向对象、STL,设计模式、和WindowsSDK图形编程的各种技能做一个贪吃蛇或是俄罗斯方块的游戏。 支持不同的级别和难度。 做一个文件浏览器,可以浏览目录下的文件,并可以对不同的文件有不同的操作,文本文件可以打开编辑,执行文件则执行之,mp3或avi文件可以播放,图片文件可以展示图片。 学习C++的一些类库的设计,如: MFC(看看候捷老师的《深入浅出MFC》) ,Boost, ACE, CPPUnit,STL (STL可能会太难了,但是如果你能了解其中的设计模式和设计那就太好了,如果你能深入到我写的《STL string类的写时拷贝技术》那就非常不错了,ACE需要很强在的系统知识,参见后面的“加强对系统的了解”)Java是真正的面向对象的语言,Java的设计模式多得不能再多,也是用来学习面向对象的设计模式的最佳语言了(参看Java中的设计模式)。 推荐阅读《Effective Java》 and 《Java解惑》学习Java的框架,Java的框架也是多,如Spring, Hibernate,Struts 等等,主要是学习Java的设计,如IoC等。 Java的技术也是烂多,重点学习J2EE架构以及JMS, RMI, 等消息传递和远程调用的技术。 学习使用Java做Web Service (官方教程在这里)实践任务: 尝试在Spring或Hibernate框架下构建一个有网络的Web Service的远程调用程序,并可以在两个Service中通过JMS传递消息。 C++和Java都不是能在短时间内能学好的,C++玩是的深,Java玩的是广,我建议两者选一个。 我个人的学习经历是:深究C++(我深究C/C++了十来年了)学习Java的各种设计模式。 2、加强系统了解重要阅读下面的几本书:《Unix编程艺术》了解Unix系统领域中的设计和开发哲学、思想文化体系、原则与经验。 你一定会有一种醍醐灌顶的感觉。 《Unix网络编程卷1,套接字》这是一本看完你就明白网络编程的书。 重要注意TCP、UDP,以及多路复用的系统调用select/poll/epoll的差别。 《TCP/IP详解 卷1:协议》- 这是一本看完后你就可以当网络黑客的书。 了解以太网的的运作原理,了解TCP/IP的协议,运作原理以及如何TCP的调优。 实践任务:理解什么是阻塞(同步IO),非阻塞(异步IO),多路复用(select, poll, epoll)的IO技术。 写一个网络聊天程序,有聊天服务器和多个聊天客户端(服务端用UDP对部分或所有的的聊天客户端进Multicast或Broadcast)。 写一个简易的HTTP服务器。 《Unix网络编程卷2,进程间通信》信号量,管道,共享内存,消息等各种IPC…… 这些技术好像有点老掉牙了,不过还是值得了解。 实践任务:主要实践各种IPC进程序通信的方法。 尝试写一个管道程序,父子进程通过管道交换数据。 尝试写一个共享内存的程序,两个进程通过共享内存交换一个C的结构体数组。 学习《Windows核心编程》一书。 把CreateProcess,Windows线程、线程调度、线程同步(Event, 信号量,互斥量)、异步I/O,内存管理,DLL,这几大块搞精通。 实践任务:使用CreateProcess启动一个记事本或IE,并监控该程序的运行。 把前面写过的那个简易的HTTP服务用线程池实现一下。 写一个DLL的钩子程序监控指定窗口的关闭事件,或是记录某个窗口的按键。 有了多线程、多进程通信,TCP/IP,套接字,C++和设计模式的基本,你可以研究一下ACE了。 使用ACE重写上述的聊天程序和HTTP服务器(带线程池)实践任务:通过以上的所有知识,尝试写一个服务端给客户端传大文件,要求把100M的带宽用到80%以上。 (注意,磁盘I/O和网络I/O可能会很有问题,想一想怎么解决,另外,请注意网络传输最大单元MTU)了解BT下载的工作原理,用多进程的方式模拟BT下载的原理。 3、系统架构负载均衡。 HASH式的,纯动态式的。 (可以到Google学术里搜一些关于负载均衡的文章读读)多层分布式系统 – 客户端服务结点层、计算结点层、数据cache层,数据层。 J2EE是经典的多层结构。 CDN系统 – 就近访问,内容边缘化。 P2P式系统,研究一下BT和电驴的算法。 比如:DHT算法。 服务器备份,双机备份系统(Live-Standby和Live-Live系统),两台机器如何通过心跳监测对方?集群主结点备份。 虚拟化技术,使用这个技术,可以把操作系统当应用程序一下切换或重新配置和部署。 学习Thrift,二进制的高性能的通讯中间件,支持数据(对象)序列化和多种类型的RPC服务。 学习Hadoop。 Hadoop框架中最核心的设计就是:MapReduce和HDFS。 MapReduce的思想是由Google的一篇论文所提及而被广为流传的,简单的一句话解释MapReduce就是“任务的分解与结果的汇总”。 HDFS是Hadoop分布式文件系统(Hadoop Distributed File System)的缩写,为分布式计算存储提供了底层支持。 了解NoSQL数据库(有人说可能是一个过渡炒作的技术),不过因为超大规模以及高并发的纯动态型网站日渐成为主流,而SNS类网站在数据存取过程中有着实时性等刚性需求,这使得目前NoSQL数据库慢慢成了人们所关注的焦点,并大有成为取代关系型数据库而成为未来主流数据存储模式的趋势。 当前NoSQL数据库很多,大部分都是开源的,其中比较知名的有:MemcacheDB、Redis、Tokyo Cabinet(升级版为Kyoto Cabinet)、Flare、MongoDB、CouchDB、Cassandra、Voldemort等。

免责声明:本文转载或采集自网络,版权归原作者所有。本网站刊发此文旨在传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及版权、内容等问题,请联系本网,我们将在第一时间删除。同时,本网站不对所刊发内容的准确性、真实性、完整性、及时性、原创性等进行保证,请读者仅作参考,并请自行核实相关内容。对于因使用或依赖本文内容所产生的任何直接或间接损失,本网站不承担任何责任。

标签: SQL注入

“打造安保的Python运行程序-从零到SQL注入防护巨匠 (安保举措)” 的相关文章

粗浅剖析-SQL-注入破绽检测与进攻战略 (粗浅分析的意思)

粗浅剖析-SQL-注入破绽检测与进攻战略 (粗浅分析的意思)

SQL注入(SQLInjection)是一种宽泛存在于Web运行程序中的重大安保破绽,它准许攻打者在不获取授权的状况下访问、修正或删除数据库中的数据。这是一种经常出现的攻打模式,因此数据库开发者、...