Phòng chống SQL Injection: Hướng dẫn code Python và cách bảo vệ trang web của bạn

Tiếng Việt

SQL injection là một kỹ thuật tấn công cho phép kẻ tấn công chèn các câu lệnh SQL độc hại vào một ứng dụng web. Điều này có thể cho phép kẻ tấn công truy cập dữ liệu nhạy cảm, sửa đổi hoặc xóa dữ liệu, hoặc thậm chí chiếm quyền kiểm soát máy chủ.

Code Python để phát hiện SQL injection

Dưới đây là một đoạn code Python đơn giản để phát hiện SQL injection trên một ứng dụng web:

Python

import requests

from bs4 import BeautifulSoup as bs

 

def detect_sqli(url, parameter):

# Sử dụng requests để gửi yêu cầu GET đến URL

response = requests.get(url, params={parameter: “1”})

 

# Sử dụng BeautifulSoup để phân tích phản hồi HTML

soup = bs(response.content, “html.parser”)

 

# Tìm kiếm các ký tự đặc biệt trong tiêu đề trang

for tag in soup.find_all(“title”):

if any(char in tag.text for char in [“‘”, “\””, “;”, “=”]):

return True

 

return False

 

# Kiểm tra một trang web cụ thể

url = “https://example.com/?id=1”

parameter = “id”

 

# Nếu có SQL injection, hàm sẽ trả về True

if detect_sqli(url, parameter):

print(“Trang web có lỗ hổng SQL injection!”)

else:

print(“Trang web không có lỗ hổng SQL injection.”)

Use code with caution. Learn more

content_copy

Cách bảo vệ trang web khỏi SQL injection

Dưới đây là một số cách để bảo vệ trang web khỏi SQL injection:

Sử dụng các hàm escape() hoặc sanitize() để lọc dữ liệu đầu vào của người dùng. Các hàm này sẽ thay thế các ký tự đặc biệt bằng ký tự tương đương không gây hại.

Sử dụng các truy vấn SQL được kiểm tra trước. Các truy vấn này sẽ được kiểm tra trước khi được thực thi để đảm bảo rằng chúng không chứa các câu lệnh SQL độc hại.

Sử dụng các framework web có tính bảo mật cao. Các framework web này thường có các tính năng tích hợp để bảo vệ khỏi SQL injection.

Tiếng Anh

SQL injection is a type of attack that allows an attacker to inject malicious SQL statements into a web application. This can allow an attacker to access sensitive data, modify or delete data, or even take control of the server.

Python code to detect SQL injection

The following is a simple Python code to detect SQL injection on a web application:

Python

import requests

from bs4 import BeautifulSoup as bs

 

def detect_sqli(url, parameter):

# Use requests to send a GET request to the URL

response = requests.get(url, params={parameter: “1”})

 

# Use BeautifulSoup to parse the HTML response

soup = bs(response.content, “html.parser”)

 

# Look for special characters in the page title

for tag in soup.find_all(“title”):

if any(char in tag.text for char in [“‘”, “\””, “;”, “=”]):

return True

 

return False

 

# Check a specific website

url = “https://example.com/?id=1”

parameter = “id”

 

# If there is SQL injection, the function will return True

if detect_sqli(url, parameter):

print(“The website has a SQL injection vulnerability!”)

else:

print(“The website does not have a SQL injection vulnerability.”)

Use code with caution. Learn more

content_copy

How to protect your website from SQL injection

Here are some ways to protect your website from SQL injection:

Use escape() or sanitize() functions to filter user input data. These functions will replace special characters with harmless equivalent characters.

Use prepared statements. Prepared statements are checked before being executed to ensure that they do not contain malicious SQL statements.

Use web frameworks with high security. Web frameworks often have built-in features to protect against SQL injection.

Từ khóa liên quan

SQL injection

Python

Bảo mật web

Phòng chống tấn công

Lỗ hổng bảo mật

An ninh mạng

**Kết