Python操作db2数据库时如何防止SQL注入

SQL注入就是攻击者在前端的表单输入中，或者 API 的传参时，按照 SQL 的语法，人为地加入一段代码，改变原有的SQL 逻辑，来跳过验证，篡改或者删除数据库，达到攻击者的目的的过程。

SQL注入攻击会造成非常严重的后果，举个例子：

select user_id,user_name from user_info where user_name = '$a' and passwd = '$pwd'

一般情况下，参数userName,pwd 都是从前端的界面中的文本框输入的，但是：

如果攻击者在 pwd 的文本框中输入以下字符串：

xxx' or 1=1 

那么到了后端，SQL 拼接的情况就成了：

select user_id,user_name from user_info where user_name = '$a' and passwd = 'xxx' or 1 =1

这样就跳过了密码验证。

如果攻击者在 pwd 的文本框中输入以下字符串：

xxx' or 1=1 ; delete from user_info 

那么到了后端，SQL 拼接的情况就成了：

select user_id,user_name from user_info where user_name = '$a' and passwd = 'xxx' or 1 =1 ; delete from user_info ;

一执行，不但跳过的验证，还删除了所有的用户信息，可以想象下，如果是 drop database 呢，整个数据库立即消失。

如何防止SQL注入？

方法一：仍使用字符串拼接的方法，但对SQL进行案例检查。

检查的方法包括：

• 限制单条 SQL 语句，对应SQL语句中不能有分号。
• 防止将 where 条件失效，对应SQL语句中不能出现SQL语法中的注释符号，如 -- ,/**/ 等。
• 禁止出现危险操作，对应SQL语句中不能出现 delete、drop、create 等关键词。
• 在不影响 SQL功能的前提下，禁止SQL语句中出现 or 这种可以改变逻辑规则的词

以上检查操作在 Python 中使用正则表达式一句话就可以搞定：

if re.findall(r';|--|/*|delete|drop|create|or|*/',sql.lower()):
 return False # False 说明SQL是不安全的

方法二：使用数据库 API 的预编译功能，参数单独做为参数传递，以 ibm_db 为例：

import ibm_db
conn = ibm_db.connect("database","username","password")
sql = "SELECT EMPNO, LASTNAME FROM EMPLOYEE WHERE EMPNO > ? AND EMPNO < ?"
stmt = ibm_db.prepare(conn, sql)
max = 50
min = 0
# Explicitly bind parameters
ibm_db.bind_param(stmt, 1, min)
ibm_db.bind_param(stmt, 2, max)
ibm_db.execute(stmt)
# Process results

# Invoke prepared statement again using dynamically bound parameters
param = max, min, 
ibm_db.execute(stmt, param)

总结：

方法二仅适用于将 where 条件中的字段值做为参数传递的情况，假如表名是通过参数传递，或者 select 中的字段名也是通过参数传递的话，只能使用方法一，因此只要 SQL 语句中对防止注入的安全性检查做的好，方法一更灵活，适用范围更广。