零基础使用Django2.0.1打造在线教育网站（二十五）：常见的网络攻防

原创

啃饼思录

发布于 2018-09-13 21:53:40

4930

发布于 2018-09-13 21:53:40

文章被收录于专栏：零基础使用Django2.0.1打造在线教育网站零基础使用Django2.0.1打造在线教育网站

关于博主

努力与运动兼备～~~有任何问题可以加我好友或者关注微信公众号，欢迎交流，我们一起进步！

                                      微信公众号:  啃饼思录

                                    QQ: 2810706745（啃饼小白）

写在前面

本篇笔记我们将介绍常见的网络攻击与防护，具体包括SQL注入攻击及防护，XSS攻击及防护以及CSRF攻击及防护，下面我们依次介绍一下。

SQL注入攻击及防护

首先我们来了解一下什么是SQL注入？

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

SQL注入的危害:

下面我们通过一段代码了解一下SQL注入的过程：

# users/views.py文件：
class LoginUnsafeView(View):
    def get(self, request):
        return render(request, "login.html", {})
    def post(self, request):
        user_name = request.POST.get("username", "")
        pass_word = request.POST.get("password", "")

        import MySQLdb
        conn = MySQLdb.connect(host='127.0.0.1', user='root', passwd='root', db='mxonline', charset='utf8')
        cursor = conn.cursor()
        sql_select = "select * from users_userprofile where email='{0}' and password='{1}'".format(user_name, pass_word)

        result = cursor.execute(sql_select)
        for row in cursor.fetchall():
            # 查询到用户
            pass
        print 'hello'

# eduline/urls.py文件:
from users.views import LoginUnsafeView

urlpatterns = [
    path('login/', LoginUnsafeView.as_view(), name='login'),
]

这里竟然把sql语句写到这里，所以我们可以在参数中加入sql语句，使之拼接字符串从而为真被系统识别通过，盗取用户信息。但是在Django自带了orm,可以对这个进行验证，从而保证系统的安全。

因此建议大家都采用orm这种形式，不要使用原生的sql语句。