当前位置：首页 > article >正文

Python安全编程：保护你的代码和数据

article 2026/4/4 0:05:03

Python安全编程保护你的代码和数据前言大家好我是第一程序员名字大人很菜。作为一个非科班转码、正在学习Rust和Python的萌新最近我开始关注Python的安全编程。说实话一开始我对安全编程的重要性认识不足觉得只要代码能运行就可以了。但随着学习的深入我发现安全编程是非常重要的尤其是在处理敏感数据或构建Web应用时。今天我想分享一下我对Python安全编程的学习心得希望能给同样是非科班转码的朋友们一些参考。一、常见的安全漏洞1.1 SQL注入SQL注入是一种常见的安全漏洞攻击者通过在输入中插入SQL代码来执行恶意操作# 不安全的代码 import sqlite3 def get_user(username): conn sqlite3.connect(database.db) cursor conn.cursor() # 不安全直接拼接SQL语句 cursor.execute(fSELECT * FROM users WHERE username {username}) user cursor.fetchone() conn.close() return user # 攻击者可以输入 OR 11 -- # 这会导致执行SELECT * FROM users WHERE username OR 11 --1.2 跨站脚本攻击XSSXSS攻击允许攻击者在网页中注入恶意脚本# 不安全的代码 from flask import Flask, request, render_template app Flask(__name__) app.route(/) def index(): name request.args.get(name, World) # 不安全直接将用户输入插入到HTML中 return fh1Hello, {name}!/h1 # 攻击者可以输入scriptalert(XSS)/script # 这会导致在网页中执行JavaScript代码1.3 跨站请求伪造CSRFCSRF攻击诱导用户执行非预期的操作# 不安全的代码 from flask import Flask, request, session app Flask(__name__) app.secret_key secret app.route(/transfer, methods[POST]) def transfer(): # 不安全没有验证请求来源 amount request.form.get(amount) recipient request.form.get(recipient) # 执行转账操作 return fTransferred {amount} to {recipient}1.4 不安全的密码存储不安全的密码存储方式可能导致密码泄露# 不安全的代码 import sqlite3 def register_user(username, password): conn sqlite3.connect(database.db) cursor conn.cursor() # 不安全明文存储密码 cursor.execute(INSERT INTO users (username, password) VALUES (?, ?), (username, password)) conn.commit() conn.close()二、安全编程最佳实践2.1 防止SQL注入使用参数化查询来防止SQL注入# 安全的代码 import sqlite3 def get_user(username): conn sqlite3.connect(database.db) cursor conn.cursor() # 安全使用参数化查询 cursor.execute(SELECT * FROM users WHERE username ?, (username,)) user cursor.fetchone() conn.close() return user2.2 防止XSS攻击对用户输入进行转义# 安全的代码 from flask import Flask, request, escape app Flask(__name__) app.route(/) def index(): name request.args.get(name, World) # 安全对用户输入进行转义 return fh1Hello, {escape(name)}!/h12.3 防止CSRF攻击使用CSRF令牌# 安全的代码 from flask import Flask, request, session, render_template from flask_wtf.csrf import CSRFProtect app Flask(__name__) app.secret_key secret csrf CSRFProtect(app) app.route(/transfer, methods[GET, POST]) def transfer(): if request.method POST: # 安全CSRF令牌会自动验证 amount request.form.get(amount) recipient request.form.get(recipient) # 执行转账操作 return fTransferred {amount} to {recipient} return render_template(transfer.html)2.4 安全存储密码使用哈希函数存储密码# 安全的代码 import sqlite3 import hashlib import os def register_user(username, password): conn sqlite3.connect(database.db) cursor conn.cursor() # 安全使用哈希函数存储密码 salt os.urandom(32) hashed_password hashlib.pbkdf2_hmac(sha256, password.encode(utf-8), salt, 100000) cursor.execute(INSERT INTO users (username, password_hash, salt) VALUES (?, ?, ?), (username, hashed_password, salt)) conn.commit() conn.close() def verify_password(username, password): conn sqlite3.connect(database.db) cursor conn.cursor() cursor.execute(SELECT password_hash, salt FROM users WHERE username ?, (username,)) result cursor.fetchone() if result: password_hash, salt result test_hash hashlib.pbkdf2_hmac(sha256, password.encode(utf-8), salt, 100000) return test_hash password_hash return False三、安全库的使用3.1 使用cryptography库cryptography库提供了各种加密功能# 安装cryptography # pip install cryptography from cryptography.fernet import Fernet # 生成密钥 key Fernet.generate_key() cipher_suite Fernet(key) # 加密数据 plaintext bHello, World! ciphertext cipher_suite.encrypt(plaintext) print(fEncrypted: {ciphertext}) # 解密数据 decrypted_text cipher_suite.decrypt(ciphertext) print(fDecrypted: {decrypted_text})3.2 使用pyjwt库pyjwt库用于处理JSON Web Tokens# 安装pyjwt # pip install pyjwt import jwt import datetime # 生成token payload { user_id: 123, exp: datetime.datetime.utcnow() datetime.timedelta(hours1) } secret secret_key token jwt.encode(payload, secret, algorithmHS256) print(fToken: {token}) # 验证token try: decoded jwt.decode(token, secret, algorithms[HS256]) print(fDecoded: {decoded}) except jwt.ExpiredSignatureError: print(Token has expired) except jwt.InvalidTokenError: print(Invalid token)3.3 使用passlib库passlib库用于密码哈希# 安装passlib # pip install passlib from passlib.hash import pbkdf2_sha256 # 哈希密码 hashed_password pbkdf2_sha256.hash(mypassword) print(fHashed password: {hashed_password}) # 验证密码 is_valid pbkdf2_sha256.verify(mypassword, hashed_password) print(fPassword is valid: {is_valid})四、安全配置4.1 环境变量管理使用环境变量存储敏感信息# 安装python-dotenv # pip install python-dotenv import os from dotenv import load_dotenv # 加载环境变量 load_dotenv() # 从环境变量获取敏感信息 secret_key os.getenv(SECRET_KEY) database_url os.getenv(DATABASE_URL) # 使用敏感信息 print(fSecret key: {secret_key}) print(fDatabase URL: {database_url})4.2 安全的文件权限设置安全的文件权限import os # 创建文件并设置权限 with open(secret.txt, w) as f: f.write(secret information) # 设置文件权限为600只有所有者可读写 os.chmod(secret.txt, 0o600)4.3 安全的网络配置使用安全的网络配置import ssl import socket # 创建安全的SSL连接 context ssl.create_default_context() with socket.create_connection((example.com, 443)) as sock: with context.wrap_socket(sock, server_hostnameexample.com) as ssock: print(fSSL version: {ssock.version()}) print(fCipher: {ssock.cipher()})五、Python与Rust的对比作为一个同时学习Python和Rust的转码者我发现对比学习是一种很好的方法5.1 安全特性对比Python动态类型运行时错误需要手动处理安全问题Rust静态类型编译时错误内存安全线程安全安全优势Rust在编译时就能发现很多安全问题开发效率Python开发效率高Rust开发效率相对较低5.2 学习心得Python的优势开发效率高生态丰富Rust的优势内存安全线程安全相互借鉴从Python学习快速开发从Rust学习安全编程六、实践项目推荐6.1 安全项目密码管理器实现一个安全的密码管理器安全的Web应用构建一个具有安全特性的Web应用加密工具实现一个文件加密工具安全扫描器开发一个简单的安全扫描工具七、学习方法和技巧7.1 学习方法循序渐进先学习基础安全知识再学习高级安全技术项目实践通过实际项目来巩固知识文档阅读仔细阅读安全编程相关的文档社区交流加入社区向他人学习7.2 常见问题和解决方法安全漏洞定期进行安全扫描及时修复漏洞密码管理使用专业的密码管理工具依赖安全定期更新依赖库避免使用有漏洞的依赖安全意识提高安全意识定期学习安全知识八、总结Python安全编程是非常重要的尤其是在处理敏感数据或构建Web应用时。作为一个非科班转码者我深刻体会到安全编程的重要性。我的学习过程并不是一帆风顺的遇到了很多困难和挫折但通过不断地实践和学习我逐渐掌握了Python安全编程的各种技巧。保持学习保持输出。虽然现在我还是个菜鸡但我相信只要坚持总有一天能成为真正的「第一程序员」

Python安全编程：保护你的代码和数据

相关文章：

Python安全编程：保护你的代码和数据

《深入理解Mybatis原理》MyBatis动态SQL原理

《深入理解Mybatis原理》MyBatis数据源与连接池详解

SpringBoot的两种启动方式原理

极客老王说Agent：具备“看屏幕”能力的Agent如何击穿传统接口无法触达的业务荒原？

单相级联H桥（CHB）多电平变换器并网仿真，网侧电压220V PR电压外环，PI电流内环，有...

西门子S7-200SMART PLC与组态王7.0通信在压铸机控制中的应用：附带完整程序与多媒体资料

Redis 实战篇1.4 （Redis优化秒杀）

收藏！前端打工人破局指南：转AI Agent，告别重复劳动，薪资翻倍

LeetCode 二叉树高频双题绝杀！第 k 小元素 + 右视图，小白一遍学会

如何从视频中高效提取幻灯片：智能工具应用指南

短视频 SEO 优化对于新手有什么建议_如何分析短视频的 SEO 效果

贾子 Kucius 的证伪主义批判与学术评价体系重构：文明持续运行的新范式

使用 SEO 搜索引擎营销工具需要多长时间见效

国内大模型托管平台推荐：四大平台选型指南

从‘滋滋’声到过认证：一个Buck电源的EMI实战整改笔记（附PCB布局优化技巧）

齿轮基础参数

三菱FX5U ModbusTCP从站配置避坑指南：从IP冲突到通讯成功的完整流程

中航迈特光束整形金属3D打印技术取得重要进展，多种材料已成功验证

CSDN首页发布文章意见反馈

如何利用爬虫技术快速精准地抓取目标数据？

并联型有源电力滤波器APF的三相三线制模型及其Simulink仿真研究——基于瞬时无功功率理论...

Three.js实战：打造交互式3D中国地图可视化

水产养殖自动控制系统：远程操控，鱼塘24小时在线守护

实战指南：用Python的pyttsx3库打造你的专属语音助手

OpenClaw学习助手：Qwen3.5-9B自动整理学术PDF笔记

Windows下IDEA远程开发全离线配置指南（含JetBrainsClient避坑）

Go语言的网络编程：从TCP到WebSocket

Edge/Chrome用户必看：3种免费工具批量清理失效书签（2023实测）

Go语言的项目结构：从单体到微服务