当前位置: 首页
数据库
Django原生SQL查询防止SQL注入的实践方法

Django原生SQL查询防止SQL注入的实践方法

热心网友 时间:2026-07-08
转载

在Django中执行原生SQL时,防SQL注入的规则其实很明确:raw()必须用params=传参,而且只认%s占位符,绝对不能用字符串拼接;extra()where等参数同样靠params绑定;RawSQL混入用户输入必须手动参数化;至于字段名这类结构化参数,参数化机制根本救不了,只能靠白名单校验。这几个点,一个都不能含糊。

Python Django中原生SQL查询如何确保防SQL注入?

raw() 必须用 params= 传参,不能拼字符串

Django的raw()完全绕过了ORM编译器,SQL字符串由你全权负责。只要出现"%s" % user_inputf"WHERE name = '{name}'",就等于把数据库钥匙递出去了。

  • raw()只认位置占位符%s,所有后端(PostgreSQL、MySQL、SQLite)都兼容;命名参数如%(name)s在SQLite下会直接报错
  • params必须是列表或元组,不能是字典——除非你明确只跑PostgreSQL且确认驱动支持
  • 错误示例:User.objects.raw(f"SELECT * FROM auth_user WHERE username = '{username}'")
  • 正确写法:User.objects.raw("SELECT * FROM auth_user WHERE username = %s", params=[username])

extra() 的 where 参数不自动转义,必须走 params

extra()看似像filter(),但它内部的wheretablesjoins都是原始字符串拼接点,不经过任何参数化处理。

  • extra(where=["status = %s"], params=[user_status])是唯一安全路径
  • extra(where=[f"status = '{user_status}'"])和裸写SQL没区别,直接触发注入
  • 别试图用connection.ops.adapt_unknown_value()手动转义——难维护、易漏、不跨数据库
  • 真需要动态条件,优先改用Q()组合,或提前定义好字段白名单映射

RawSQL 表达式里混用户输入必须手动参数化

RawSQL用在annotate()filter()中时,它本身不继承外层QuerySet的参数化机制,params=只绑定它自己SQL内的占位符。

  • 错误:annotate(score=RawSQL(f"CASE WHEN title LIKE '%{search}%' THEN 1 ELSE 0 END")) —— search被直接插进字符串
  • 正确:RawSQL("CASE WHEN title LIKE %s THEN 1 ELSE 0 END", params=[f"%{search}%"])
  • LIKE模糊匹配还要额外注意通配符转义:用户输入的%_会被数据库当语法执行,不算注入但属逻辑漏洞,需用escape参数或__icontains替代
  • 更稳妥方案:优先用ORM原生表达式,比如Case(When(title__icontains=search, then=1), output_field=IntegerField())

cursor.execute() 也得严格参数化

绕过ORM直接用connection.cursor()时,Django不提供任何防护,完全依赖底层驱动的参数化能力。

  • 必须用cursor.execute("SELECT * FROM user WHERE id = %s", [user_id])
  • 禁止cursor.execute(f"SELECT * FROM user WHERE id = {user_id}")"%s" % user_id
  • 不同数据库占位符不互通:MySQL/SQLite用%s,PostgreSQL支持%s%(name)s,但混用会导致迁移失败
  • 如果涉及多数据库部署,统一用位置参数%s最保险

这里必须强调一点:结构化参数永远不被保护——表名、字段名、ORDER BY、GROUP BY、函数名这些,哪怕你用params=也救不了。它们不属于“值”,而是SQL语法骨架,必须靠白名单校验或静态定义兜底。这才是在Django中安全执行原生SQL的真正底线。

来源:https://www.php.cn/faq/2784715.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
配置Java应用支持Oracle数据库AD/Kerberos身份验证

配置Java应用支持Oracle数据库AD/Kerberos身份验证

配置Java应用支持OracleAD Kerberos需正确设置JVM的krb5 conf与jaas conf,JDBCURL添加oracle net authentication_services=(KERBEROS5)并与SPN严格匹配。AD用户需映射为Oracle企业用户并授予CREATESESSION权限。SPN注册和EUS映射是常见故障点。

时间:2026-07-08 07:04
Redis订阅者BGSAVE期间响应变慢:RDB持久化IO影响分析

Redis订阅者BGSAVE期间响应变慢:RDB持久化IO影响分析

Redis订阅者在BGSAVE期间响应变慢,源于fork阻塞、COW内存争抢及磁盘I O高负载三重叠加。通过将RDB迁移至从节点、禁用THP、调整swappiness并手动触发避开高峰,可有效降低对主服务的影响。

时间:2026-07-08 07:03
如何优雅捕获Node.js项目中的MongoDB写入异常

如何优雅捕获Node.js项目中的MongoDB写入异常

批量插入失败时不会抛出统一错误类型,需关注错误代码和写入错误数组。部分失败时可设置有序参数为假以获取写入错误数组。事务中写入失败会自动中止事务,提交事务不会执行。常见错误码11000为唯一键冲突,121为文档验证失败。

时间:2026-07-08 07:03
如何用SQL窗口函数ROW_NUMBER实现分组内去重

如何用SQL窗口函数ROW_NUMBER实现分组内去重

行号函数仅分配行序号,不能直接去重。需通过子查询或公用表表达式过滤行号为1的行,实现分组内去重。若排序字段有重复,应加入唯一键以保证排序稳定性。还需注意不同数据库对空值排序的差异及版本兼容性。

时间:2026-07-08 07:03
Spring Boot RedisTemplate无法直接注入?检查泛型声明是否正确

Spring Boot RedisTemplate无法直接注入?检查泛型声明是否正确

RedisTemplate注入失败多因泛型擦除导致类型不匹配,需保证配置类返回类型、注入字段类型及内部key value类型三者一致。避免使用无泛型或通配符形式,不同序列化策略应定义独立Bean并用@Qualifier区分。StringRedisTemplate为独立Bean,不可混用。

时间:2026-07-08 07:03
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜