当前位置：首页 > news >正文

[学习笔记]（Python3）防止SQL注入、XSS攻击和文件上传漏洞

news 2025/9/18 5:20:21

学习笔记：防止SQL注入、XSS攻击和文件上传漏洞（Python3）

本笔记由生成式大模型GPT-4o自动整理。注意AI可能犯错。代码和理论由GPT-4o(2024-5-21)自行撰写未经人工复核。

参数化查询防SQL注入

参数化查询通过将SQL语句和数据分离来防止SQL注入：

import pymysqlconnection = pymysql.connect(host='localhost', user='user', password='passwd', db='db')
cursor = connection.cursor()
username, password = "admin", "password123"sql = "SELECT * FROM users WHERE username=%s AND password=%s"
cursor.execute(sql, (username, password))
result = cursor.fetchall()

防止XSS攻击的方法

输出编码：在输出到网页时进行编码。
内容安全策略（CSP）：使用CSP头限制浏览器执行或加载的内容。
```
Content-Security-Policy: default-src 'self';
```
输入验证和清理：严格验证和清理用户输入。
使用安全的库和框架：例如，使用Django。
设置HTTP头：
```
X-XSS-Protection: 1; mode=block
```

文件上传漏洞的解决方法（Python3后端）

文件类型验证：

from werkzeug.utils import secure_filename
from flask import Flask, request, abortapp = Flask(__name__)
app.config['UPLOAD_FOLDER'] = '/path/to/upload'
app.config['ALLOWED_EXTENSIONS'] = {'png', 'jpg', 'jpeg', 'gif'}def allowed_file(filename):return '.' in filename and filename.rsplit('.', 1)[1].lower() in app.config['ALLOWED_EXTENSIONS']@app.route('/upload', methods=['POST'])
def upload_file():if 'file' not in request.files:abort(400, 'No file part')file = request.files['file']if file.filename == '':abort(400, 'No selected file')if file and allowed_file(file.filename):filename = secure_filename(file.filename)file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))return 'File successfully uploaded'else:abort(400, 'File type not allowed')

文件名安全处理：

from werkzeug.utils import secure_filenamefilename = secure_filename(file.filename)

限制文件大小：

app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024  # 16MB

存储位置和权限：

import osUPLOAD_FOLDER = '/path/to/upload'
if not os.path.exists(UPLOAD_FOLDER):os.makedirs(UPLOAD_FOLDER, exist_ok=True)
os.chmod(UPLOAD_FOLDER, 0o700)

总结

通过参数化查询防止SQL注入，使用输出编码、CSP、输入验证等技术防止XSS攻击，并在Python3后端通过文件类型验证、文件名处理、限制文件大小等措施防止文件上传漏洞，可以有效提高Web应用的安全性。

[学习笔记]（Python3）防止SQL注入、XSS攻击和文件上传漏洞

学习笔记：防止SQL注入、XSS攻击和文件上传漏洞（Python3） 本笔记由生成式大模型GPT-4o自动整理。注意AI可能犯错。代码和理论由GPT-4o(2024-5-21)自行撰写未经人工复核。参数化查询防SQL注入参数化查询通过将SQL语句和数据分离来防止SQL注…...

编程日记 2024/5/24 20:37:33

西门子CPU与汇川伺服通信与控制

西门子CPU与汇川620F伺服通信与控制一、西门子CPU与汇川620F伺服通信与控制1、器件准备2、伺服软件设置3、PLC添加汇川伺服描述文件4、PLC编程调试5、总结二、西门子s7-1500限位信号接到伺服的方法1、通过默认报文获取限位信号2、添加自定义报文获取限位信号3、总结三、西门…...

编程日记 2024/5/24 20:35:31

移动硬盘无法读取怎么修复？简单八步，轻松搞定！

移动硬盘在日常生活和工作中扮演着重要的角色，但有时我们可能会遇到移动硬盘无法读取的问题。这种情况可能导致数据无法访问，给用户带来一定的困扰。本文将介绍移动硬盘无法读取的可能原因以及针对这些问题的修复方法。 1. 检查硬件连接当发现移动硬盘…...

编程日记 2024/5/24 20:34:29

c4d云渲染是工程文件会暴露吗?

在数字创意产业飞速发展的今天，C4D云渲染因其高效便捷而备受欢迎。然而，随着技术应用的深入，人们开始关注一个核心问题：在享受云渲染带来的便利的同时，C4D工程文件安全吗？是否会有暴露的风险？下…...

编程日记 2024/5/24 20:33:28

C语言/数据结构——每日一题（有效的括号）

一.前言如果想要使用C语言来解决这道题——有效的括号：https://leetcode.cn/problems/valid-parentheses/description/我们必须要借用上一篇我们所讲的内容——栈的实现：https://blog.csdn.net/yiqingaa/article/details/138923750?spm1001.2014.3001.…...

编程日记 2024/5/24 20:30:26

STM32使用旋转编码开关

一、旋转编码开关如何工作编码器内部有一个开槽圆盘，连接到公共接地引脚 C。它还具有两个接触针 A 和 B，如下所示。当您转动旋钮时，A 和 B 按照特定顺序与公共接地引脚 C 接触，具体顺序取决于转动旋钮的方向。当它们与公共地接…...

编程日记 2024/5/24 20:29:24

OneMO同行心级服务：中移物联OneMO模组助力客户终端寒冷环境下的稳定运行

中移物联OneMO模组以客户为中心，基于中国移动心级服务要求，开展“OneMO同行心级服务标定一流”高标服务主题活动，升级“服务内容““服务方式”和“服务意识”，为行业客户提供全新的服务体验。近日，某车载监控设备…...

编程日记 2024/5/24 20:28:23

爬虫视图展示之 Power BI

实现方式读取数据的实现 selenium 库 requests 库存储媒介 MysqlElasticSearch 图表展示 GrafanaPower BI 是什么？ Power BI 简单且快速，能够从 Excel 电子表格或本地数据库创建快速见解。同时 Power BI 也可进行丰富的建模和实时分析&#xff…...

编程日记 2024/5/24 20:27:22

微软刚发布的Copilot+PC为什么让Intel和AMD尴尬？2024 AI PC元年——产业布局及前景展望

美国东部时间5月20日在微软位于华盛顿的新园区举行的发布会上，宣布将旗下AI助手Copilot全面融入Windows系统，能够在不调用云数据中心的情况下处理更多人工智能任务。 “将世界作为一个提示词就从Windows系统开始”。微软的新PC将是“CopilotPC”&#xf…...

编程日记 2024/5/24 20:26:21

抖音视频怎么去水印保存部分源码|短视频爬虫提取收集下载工具

抖音视频怎么去水印保存部分源码|短视频爬虫提取收集下载工具抖音视频去水印保存部分源码： 通过使用Python中的requests、re和os等库，可以编写如下代码来实现抖音视频去水印保存的功能。短视频爬虫提取手机下载工具的使用方法： 该工具主…...

编程日记 2024/5/24 20:25:20

类的组合、作用域与可见性、类的静态成员、单例模式、

类的组合一个类内嵌其他类的对象作为成员的情况 has - a组合初始化列表的另一用途：为了调用数据成员的带参构造函数能够层层递进 class Line { public:Line(int x1 0, int y1 0, int x2 0, int y2 0);Line(const Line &other);~Line();Line(const Po…...

编程日记 2024/5/24 20:24:19

高速公路定向广播（声光一体） HT-600D

1、产品概述： HT-600D声光一体平面波IP定向广播是北京恒星科通创新性研发产品，采用公司自主研发的平面波传声技术，该产品具有高声压、强指向性、高清晰度等特点，采用定向声传声技术将声音聚集到正前方定向传输,周边声压级明显降低…...

编程日记 2024/5/24 20:23:17

2024离婚新规已生效,不用等30天冷静期，线上开庭

2024年离婚必知的12条法律知识： ✅分居多久都不会自动离婚，想离婚，必需通过协议或起诉程序离婚 ✅婚后的工资收入，继承的遗产(未指定只给一人）都是夫妻共同财产 ✅没有领结婚证，或领证后没有共同生活&#…...

编程日记 2024/5/24 20:22:15

从零搭建python环境：深入解析虚拟环境与Python版本管理

新书上架~👇全国包邮奥~ python实用小工具开发教程http://pythontoolsteach.com/3 欢迎关注我👆，收藏下次不迷路┗|｀O′|┛ 嗷~~ 目录一、引言：为何需要虚拟环境？ 二、虚拟环境的创建与命名 1. 虚拟环境…...

编程日记 2024/5/24 20:21:14

windows安装官方正版notepad++

一、notepad介绍 Notepad 是一个免费的、开源的文本编辑器，主要面向程序员和高级用户。以下是 Notepad 的特点： 跨平台： 虽然主要为 Windows 平台设计，但可以通过 Wine 在 Linux 和 macOS 上运行。语法高亮： 自动识…...

编程日记 2024/5/24 20:20:13

实现netty-socketio集群的方式代码实例 PostConstructpublic void subscribe() {pubSubStore.subscribe(PubSubType.DISPATCH, new PubSubListener<DispatchMessage>() {Overridepublic void onMessage(DispatchMessage message) {log.debug("subscribe: {}"…...

编程日记 2024/5/24 20:19:12

查看目录或文件的磁盘使用情况

在排查问题过程中，会遇到磁盘占满，需要排查具体哪个文件占用比较大，此时可以使用du 命令 du [选项] [文件或目录...] 常用的选项包括： -h 或 --human-readable：以人类可读的格式（如 K、M、G）…...

编程日记 2024/5/24 20:18:11

如何选择合适的自动化框架

自动化测试框架的选型是一个复杂且重要的过程，需要考虑多个因素以确保所选框架能够满足项目的需求。以下是一些建议的步骤和考虑因素： 1. 明确项目需求： * 首先，要明确项目的测试需求，包括测试的类型（如…...

编程日记 2024/5/24 20:17:09

Java面试进阶指南：高级知识点问答精粹（二）

Java 面试问题及答案 1. 什么是Java内存模型（JMM）？它在并发编程中扮演什么角色？ 答案： Java内存模型（JMM）是一个抽象的模型，它定义了Java程序中各种变量（线程共享变量&…...

编程日记 2024/5/24 20:16:08

thinkphp 使用模型实现多表连接查询

解决问题，多张表的查询连接问题，3张表及以上爷爷表有字段id 爸爸表有字段id，grandfather_id 儿子表 id,parent_id 控制器中编写 public function getdata(){ $data model(爷爷表)->with([father.son])->select(); var_dump($data…...

编程日记 2024/5/24 20:15:07

MPNet：旋转机械轻量化故障诊断模型详解python代码复现

目录一、问题背景与挑战二、MPNet核心架构 2.1 多分支特征融合模块（MBFM） 2.2 残差注意力金字塔模块（RAPM） 2.2.1 空间金字塔注意力（SPA） 2.2.2 金字塔残差块（PRBlock） 2.3 分类器设计三、关键技术突破 3.1 多尺度特征融合 3.2 轻量化设计策略 3.3 抗噪声…...

编程新知 2025/9/17 7:32:01

Cursor实现用excel数据填充word模版的方法

cursor主页：https://www.cursor.com/ 任务目标：把excel格式的数据里的单元格，按照某一个固定模版填充到word中文章目录注意事项逐步生成程序1. 确定格式2. 调试程序注意事项直接给一个excel文件和最终呈现的word文件的示例，…...

编程新知 2025/8/23 5:46:26

Opencv中的addweighted函数

一.addweighted函数作用 addweighted（）是OpenCV库中用于图像处理的函数，主要功能是将两个输入图像（尺寸和类型相同）按照指定的权重进行加权叠加（图像融合），并添加一个标量值&#x…...

编程新知 2025/9/11 8:42:09

C++.OpenGL （14/64）多光源（Multiple Lights）

多光源（Multiple Lights）多光源渲染技术概览 #mermaid-svg-3L5e5gGn76TNh7Lq {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-3L5e5gGn76TNh7Lq .error-icon{fill:#552222;}#mermaid-svg-3L5e5gGn76TNh7Lq .erro…...

编程新知 2025/6/11 3:15:20

保姆级教程：在无网络无显卡的Windows电脑的vscode本地部署deepseek

文章目录 1 前言2 部署流程2.1 准备工作2.2 Ollama2.2.1 使用有网络的电脑下载Ollama2.2.2 安装Ollama（有网络的电脑）2.2.3 安装Ollama（无网络的电脑）2.2.4 安装验证2.2.5 修改大模型安装位置2.2.6 下载Deepseek模型 2.3 将deepse…...

编程新知 2025/9/6 0:16:50