编辑“︁Django SQL注入防护”︁

= Django SQL注入防护 =

SQL注入（SQL Injection）是Web应用程序中常见的安全漏洞之一，攻击者通过构造恶意的SQL查询字符串来操纵数据库，可能导致数据泄露、篡改或删除。Django作为一个高级Python Web框架，内置了多种机制来防止SQL注入攻击。本文将详细介绍Django如何防护SQL注入，并提供实际案例和代码示例。

== 什么是SQL注入？ ==

SQL注入是指攻击者通过在用户输入中插入恶意SQL代码，从而绕过应用程序的安全检查，直接操作数据库。例如，如果应用程序直接将用户输入拼接到SQL查询中，攻击者可以输入类似<code>' OR '1'='1</code>的字符串，使得查询条件永远为真，从而获取所有数据。

=== 示例 ===
<syntaxhighlight lang="sql">
-- 假设原始查询为：
SELECT * FROM users WHERE username = '[user_input]' AND password = '[user_input]';

-- 如果攻击者输入：
username: admin' --
password: anything

-- 最终查询变为：
SELECT * FROM users WHERE username = 'admin' --' AND password = 'anything';
</syntaxhighlight>
这里，<code>--</code>是SQL注释符号，使得后续条件被忽略，攻击者可能直接以管理员身份登录。

== Django如何防护SQL注入 ==

Django通过以下机制有效防止SQL注入：

=== 1. 使用ORM（对象关系映射） ===
Django的ORM会自动转义SQL参数，确保用户输入不会被解释为SQL代码。ORM生成的查询使用参数化查询（prepared statements），将输入数据与查询逻辑分离。

==== 示例 ====
<syntaxhighlight lang="python">
# 不安全的写法（直接拼接字符串）
user_input = "admin' --"
query = f"SELECT * FROM users WHERE username = '{user_input}'"
# 可能被注入

# Django ORM的安全写法
from django.contrib.auth.models import User
user = User.objects.filter(username=user_input).first()
</syntaxhighlight>
Django ORM会将<code>user_input</code>作为参数传递，而不是直接拼接到SQL中。

=== 2. 使用<code>execute()</code>时的参数化查询 ===
如果必须使用原始SQL，Django提供了<code>raw()</code>和<code>execute()</code>方法，但仍需注意参数化。

==== 安全示例 ====
<syntaxhighlight lang="python">
from django.db import connection

# 安全写法：使用参数化查询
with connection.cursor() as cursor:
    cursor.execute("SELECT * FROM users WHERE username = %s", [user_input])
</syntaxhighlight>

==== 不安全示例 ====
<syntaxhighlight lang="python">
# 不安全写法：直接拼接字符串
with connection.cursor() as cursor:
    cursor.execute(f"SELECT * FROM users WHERE username = '{user_input}'")
</syntaxhighlight>

=== 3. 避免使用<code>extra()</code>和<code>raw()</code> ===
Django的<code>extra()</code>和<code>raw()</code>方法可能引入SQL注入风险，应尽量避免使用。如果必须使用，确保严格过滤输入。

=== 4. 使用Django内置的过滤和验证 ===
Django的表单和模型表单提供了输入验证和清理功能，例如：
<syntaxhighlight lang="python">
from django import forms

class LoginForm(forms.Form):
    username = forms.CharField(max_length=100)
    password = forms.CharField(widget=forms.PasswordInput)

# 视图中的使用
def login(request):
    if request.method == 'POST':
        form = LoginForm(request.POST)
        if form.is_valid():
            username = form.cleaned_data['username']  # 已清理的数据
</syntaxhighlight>

== 实际案例 ==

=== 案例1：登录绕过 ===
假设一个网站使用以下代码验证登录：
<syntaxhighlight lang="python">
# 不安全的代码
username = request.POST['username']
password = request.POST['password']
query = f"SELECT * FROM auth_user WHERE username='{username}' AND password='{password}'"
user = User.objects.raw(query)[0]
</syntaxhighlight>
攻击者可以输入：
* username: <code>admin' --</code>
* password: <code>anything</code>
最终查询变为：
<syntaxhighlight lang="sql">
SELECT * FROM auth_user WHERE username='admin' --' AND password='anything'
</syntaxhighlight>
从而绕过密码检查。

=== 案例2：数据泄露 ===
如果使用以下代码搜索用户：
<syntaxhighlight lang="python">
# 不安全的代码
search = request.GET['search']
users = User.objects.raw(f"SELECT * FROM auth_user WHERE username LIKE '%{search}%'")
</syntaxhighlight>
攻击者可以输入：
* search: <code>' UNION SELECT password FROM auth_user --</code>
最终查询变为：
<syntaxhighlight lang="sql">
SELECT * FROM auth_user WHERE username LIKE '%' UNION SELECT password FROM auth_user --%'
</syntaxhighlight>
从而泄露所有用户的密码。

== 如何测试SQL注入漏洞 ==

可以使用以下方法测试应用程序是否存在SQL注入漏洞：
1. 在输入框中尝试输入单引号（<code>'</code>），观察是否返回数据库错误。
2. 尝试输入<code>' OR '1'='1</code>，检查是否返回额外数据。
3. 使用工具如SQLmap自动化测试。

== 总结 ==

Django通过ORM和参数化查询提供了强大的SQL注入防护机制，但开发者仍需注意：
* 始终使用ORM或参数化查询。
* 避免直接拼接用户输入到SQL中。
* 使用Django的表单验证清理数据。
* 定期进行安全测试。

通过遵循这些最佳实践，可以显著降低SQL注入风险。

[[Category:后端框架]]
[[Category:Django]]
[[Category:Django安全]]