使用from html值输入过滤查询数据

在使用HTML表单值进行数据查询过滤时，确保数据的安全性是非常重要的。以下是一些基础概念和相关措施：

基础概念

SQL注入：攻击者通过在输入字段中插入恶意SQL代码，从而操纵数据库查询的行为。
XSS（跨站脚本攻击）：攻击者通过在网页中注入恶意脚本，当其他用户访问网页时，这些脚本会在用户的浏览器中执行。

类型

前端过滤：在用户提交表单之前，通过JavaScript进行基本的输入验证和过滤。
后端过滤：在服务器端接收数据后，进行严格的验证和清理。

应用场景

搜索功能：用户可以通过输入关键词来搜索数据库中的记录。
数据筛选：用户可以根据不同的条件（如日期范围、类别等）来筛选数据。

遇到的问题及解决方法

问题1：SQL注入

原因：未对用户输入进行适当的处理，直接拼接到SQL查询语句中。

解决方法：使用参数化查询或预编译语句来防止SQL注入。

import sqlite3

def safe_query(name):
    conn = sqlite3.connect('example.db')
    cursor = conn.cursor()
    query = "SELECT * FROM users WHERE name = ?"
    cursor.execute(query, (name,))
    results = cursor.fetchall()
    conn.close()
    return results

问题2：XSS攻击

原因：未对用户输入进行转义，直接输出到HTML页面中。

解决方法：在后端对输出进行HTML转义，或者在前端使用安全的模板引擎。

from html import escape

def safe_display(name):
    return f"Hello, {escape(name)}!"

示例代码

前端HTML表单

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Search</title>
</head>
<body>
    <form action="/search" method="GET">
        <input type="text" name="query" placeholder="Enter search term">
        <button type="submit">Search</button>
    </form>
</body>
</html>

后端处理（Python Flask示例）

from flask import Flask, request, render_template_string
from html import escape
import sqlite3

app = Flask(__name__)

@app.route('/search')
def search():
    query = request.args.get('query', '')
    safe_query = escape(query)
    
    conn = sqlite3.connect('example.db')
    cursor = conn.cursor()
    query = "SELECT * FROM users WHERE name LIKE ?"
    cursor.execute(query, ('%' + safe_query + '%',))
    results = cursor.fetchall()
    conn.close()
    
    return render_template_string('''
        <ul>
            {% for result in results %}
                <li>{{ result[0] }}</li>
            {% endfor %}
        </ul>
    ''', results=results)

if __name__ == '__main__':
    app.run(debug=True)