在当今数字化时代，网络安全问题日益凸显，其中SQL注入攻击是一种常见且具有严重威胁的攻击方式。Python作为一种广泛使用的编程语言，在开发Web应用等场景中，需要采取有效的防SQL注入技术来保障系统的安全。本文将详细介绍Python中防SQL注入的相关技术。

一、SQL注入攻击原理

SQL注入攻击是指攻击者通过在应用程序的输入字段中添加恶意的SQL代码，从而改变原有SQL语句的逻辑，达到非法获取、修改或删除数据库数据的目的。例如，一个简单的登录表单，原本的SQL查询语句可能是：

SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';

如果攻击者在用户名输入框中输入 "' OR '1'='1"，那么实际执行的SQL语句就变成了：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '输入的密码';

由于 '1'='1' 始终为真，这样攻击者就可以绕过正常的登录验证，访问系统。

二、Python中常见的数据库操作库

在Python中，有多个用于操作数据库的库，常见的有sqlite3、MySQLdb、psycopg2等。不同的库在防SQL注入方面的实现方式略有不同，但基本原理是相似的。

1. sqlite3

sqlite3是Python内置的轻量级数据库操作库，常用于小型应用开发。以下是一个简单的使用sqlite3执行SQL查询的示例：

import sqlite3

# 连接到数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 不安全的查询方式
username = input("请输入用户名: ")
password = input("请输入密码: ")
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)
results = cursor.fetchall()
print(results)

# 关闭连接
conn.close()

上述代码存在SQL注入风险，攻击者可以通过输入恶意代码绕过验证。

2. MySQLdb

MySQLdb是Python操作MySQL数据库的常用库。以下是一个简单的示例：

import MySQLdb

# 连接到数据库
conn = MySQLdb.connect(host='localhost', user='root', password='password', database='test')
cursor = conn.cursor()

# 不安全的查询方式
username = input("请输入用户名: ")
password = input("请输入密码: ")
query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
cursor.execute(query)
results = cursor.fetchall()
print(results)

# 关闭连接
conn.close()

同样，这种方式也容易受到SQL注入攻击。

三、Python防SQL注入的方法

1. 使用参数化查询

参数化查询是防止SQL注入的最有效方法之一。不同的数据库操作库在实现参数化查询时略有不同。

（1）sqlite3的参数化查询

import sqlite3

# 连接到数据库
conn = sqlite3.connect('example.db')
cursor = conn.cursor()

# 安全的查询方式
username = input("请输入用户名: ")
password = input("请输入密码: ")
query = "SELECT * FROM users WHERE username =? AND password =?"
cursor.execute(query, (username, password))
results = cursor.fetchall()
print(results)

# 关闭连接
conn.close()

在sqlite3中，使用问号（?）作为占位符，将用户输入的数据作为参数传递给execute方法。这样，数据库会自动处理输入数据，避免了SQL注入的风险。

（2）MySQLdb的参数化查询

import MySQLdb

# 连接到数据库
conn = MySQLdb.connect(host='localhost', user='root', password='password', database='test')
cursor = conn.cursor()

# 安全的查询方式
username = input("请输入用户名: ")
password = input("请输入密码: ")
query = "SELECT * FROM users WHERE username = %s AND password = %s"
cursor.execute(query, (username, password))
results = cursor.fetchall()
print(results)

# 关闭连接
conn.close()

在MySQLdb中，使用百分号（%s）作为占位符，同样将用户输入的数据作为参数传递给execute方法。

2. 输入验证和过滤

除了使用参数化查询，还可以对用户输入进行验证和过滤。例如，只允许用户输入合法的字符，过滤掉可能的恶意代码。

import re

def validate_input(input_string):
    # 只允许字母、数字和下划线
    pattern = re.compile(r'^[a-zA-Z0-9_]+$')
    return pattern.match(input_string) is not None

username = input("请输入用户名: ")
if validate_input(username):
    # 进行后续操作
    pass
else:
    print("输入包含非法字符，请重新输入。")

通过输入验证和过滤，可以进一步提高系统的安全性。

3. 使用ORM（对象关系映射）

ORM是一种将数据库表映射为Python对象的技术，它可以自动处理SQL语句的生成和参数化查询，从而避免SQL注入的风险。常见的Python ORM框架有SQLAlchemy、Django ORM等。

（1）SQLAlchemy的使用

from sqlalchemy import create_engine, Column, Integer, String
from sqlalchemy.orm import sessionmaker
from sqlalchemy.ext.declarative import declarative_base

# 创建数据库引擎
engine = create_engine('sqlite:///example.db')
Base = declarative_base()

# 定义用户表
class User(Base):
    __tablename__ = 'users'
    id = Column(Integer, primary_key=True)
    username = Column(String)
    password = Column(String)

# 创建会话
Session = sessionmaker(bind=engine)
session = Session()

# 查询用户
username = input("请输入用户名: ")
password = input("请输入密码: ")
user = session.query(User).filter_by(username=username, password=password).first()
if user:
    print("登录成功")
else:
    print("登录失败")

# 关闭会话
session.close()

SQLAlchemy会自动处理SQL语句的生成和参数化查询，开发者只需要关注对象的操作，大大提高了开发效率和安全性。

四、总结

SQL注入攻击是一种严重的安全威胁，在Python开发中，我们可以通过使用参数化查询、输入验证和过滤以及ORM等技术来有效防止SQL注入。参数化查询是最基本和有效的方法，它可以确保用户输入的数据被正确处理。输入验证和过滤可以进一步提高系统的安全性，而ORM则可以简化开发过程，同时避免SQL注入的风险。在实际开发中，我们应该综合运用这些方法，确保系统的安全性。

此外，还需要定期对系统进行安全审计和漏洞扫描，及时发现和修复潜在的安全问题。同时，加强对开发人员的安全培训，提高他们的安全意识，也是保障系统安全的重要措施。