SELECT * FROM accounts WHERE uid = '' or '1'='1' 应对： 对外部输入进行完善的检查、过滤、转义操作后，再进行执行。 参考资料：“驹说码事”《注入的原理与防御措施》 https://mp.weixin.qq.com/s/Zd81qlcWJi4H1AD9WzPX7w 小心 PyPI 依赖包 不要以为 Star 多的包就不存在漏洞； 更不要以为 PyPI 源中的包就不存在恶意代码；

构造失效不可用，在通 过维护保鲜后能够及时响应变化，以确保数据构造能够随时可用。在检查反馈数据结果 是否符合预期后，如不符合则进入维护保鲜环节及时进行处置，待处置成功后继续循环 构造流程。处置措施一般包括以下三方面： 1.若判断是场景发生变化，需重新评估； 2.若判断是场景中功能发生变化，需定位到具体功能，重新梳理更新场景； 3.其他问题：例如环境不可用等，需进一步排查解决。 四、实践成效

？幸运的 是，你已经在正确的路上了。在 教程第三部分（zh）中，我们了解了如何从通过在项目级别的 URL 配置文件中使用 include 来使投票应用和主项目分离。在本教程中，我们将采取进一步的措施，使 应用能很容易在新项目中使用，并发布给别人安装和使用。 包？应用？ Python 包（package）提供了将 Python 代码按相关性分组的组织方式，这一方式提高了可重用性。包中包含一个或多个

接受来自客户端的问候语，并将其存储在seen_greeting 中。将服务器设置为基本命令模 式。 EHLO 接受来自客户的问候并将其存储在seen_greeting 中。将服务器设置为扩展命令模式。 NOOP 不采取任何措施。 QUIT 干净地关闭连接。 MAIL 接受”MAIL FROM:” 句法并将所提供的地址保存为mailfrom。在扩展命令模式下，还接受 RFC 1870 SIZE 属性并根据 data_size_limit 项 （通常是一个 zip 文件或目录），其首先会被添加到 sys.path 的开头。然后，本函数用更新后的路径 查找并执行__main__ 模块。请注意，即便在指定位置不存在主模块，也没有特别的保护措施来防止 调用存在于 sys.path 其他地方的__main__。 利用可选的字典参数 init_globals ，可在代码执行前预填模块的 globals 字典。给出的字典参数不会被修 改。如果 GIL。 此外，在执行 I/O 操作时也总是会释放 GIL。 创建一个（以更精细粒度来锁定共享数据的）“自由线程”解释器的努力从未获得成功，因为这会牺牲 在普通单处理器情况下的性能。据信克服这种性能问题的措施将导致实现变得更复杂，从而更难以维 护。 hash-based pyc -- 基于哈希的 pyc 使用对应源文件的哈希值而非最后修改时间来确定其有效性的字节码缓存 文件。参见 pyc-invalidation。

流或 LZMA 压缩的文件）的 XML 库。对于攻击者来说，它可以将传输的数据 量减少三个量级或更多。 解析大量词元 Expat 需要重新解析未完成的词元；在没有 Expat 2.6.0 所引入的防护措施的情况下，这会导致 可被用来在解析 XML 的应用程序中制造拒绝服务攻击的指数级运行时间。此问题被称为 CVE-2023- 52425。 PyPI 上 defusedxml 的文档包含有关所有已知攻击向量的更多信息以及示例和参考。 用。因此，其影响应降至最低。可执行行的主要预期目的是使相关模块可导入（加载第三方导入钩子，调整 PATH 等）。如果它发生了，任何其他的初始化都应当在模块实际导入之前完成。将代码块限制为一行是一种 有意采取的措施，不鼓励在此处放置更复杂的内容。 例如，假设 sys.prefix 和 sys.exec_prefix 已经被设置为 /usr/local。Python X.Y 的库之后被安装为 /usr/local/lib/pythonX 项 （通常是一个 zip 文件或目录），其首先会被添加到 sys.path 的开头。然后，本函数用更新后的路径 查找并执行__main__ 模块。请注意，即便在指定位置不存在主模块，也没有特别的保护措施来防止 调用存在于 sys.path 其他地方的__main__。 利用可选的字典参数 init_globals ，可在代码执行前预填模块的 globals 字典。给出的字典参数不会被修 改。如果

流或 LZMA 压缩的文件）的 XML 库。对于攻击者来说，它可以将传输的数据 量减少三个量级或更多。 解析大量词元 Expat 需要重新解析未完成的词元；在没有 Expat 2.6.0 所引入的防护措施的情况下，这会导致 可被用来在解析 XML 的应用程序中制造拒绝服务攻击的指数级运行时间。此问题被称为 CVE-2023- 52425。 PyPI 上 defusedxml 的文档包含有关所有已知攻击向量的更多信息以及示例和参考。 用。因此，其影响应降至最低。可执行行的主要预期目的是使相关模块可导入（加载第三方导入钩子，调整 PATH 等）。如果它发生了，任何其他的初始化都应当在模块实际导入之前完成。将代码块限制为一行是一种 有意采取的措施，不鼓励在此处放置更复杂的内容。 例如，假设 sys.prefix 和 sys.exec_prefix 已经被设置为 /usr/local。Python X.Y 的库之后被安装为 /usr/local/lib/pythonX Chapter 31. 导入模块 The Python Library Reference, 发布 3.10.15 查找并执行__main__ 模块。请注意，即便在指定位置不存在主模块，也没有特别的保护措施来防止 调用存在于 sys.path 其他地方的__main__。 利用可选的字典参数 init_globals ，可在代码执行前预填模块的 globals 字典。给出的字典参数不会被修 改。如果

流或 LZMA 压缩的文件）的 XML 库。对于攻击者来说，它可以将传输的数据 量减少三个量级或更多。 解析大量词元 Expat 需要重新解析未完成的词元；在没有 Expat 2.6.0 所引入的防护措施的情况下，这会导致 可被用来在解析 XML 的应用程序中制造拒绝服务攻击的指数级运行时间。此问题被称为 CVE-2023- 52425。 PyPI 上 defusedxml 的文档包含有关所有已知攻击向量的更多信息以及示例和参考。 用。因此，其影响应降至最低。可执行行的主要预期目的是使相关模块可导入（加载第三方导入钩子，调整 PATH 等）。如果它发生了，任何其他的初始化都应当在模块实际导入之前完成。将代码块限制为一行是一种 有意采取的措施，不鼓励在此处放置更复杂的内容。 例如，假设 sys.prefix 和 sys.exec_prefix 已经被设置为 /usr/local。Python X.Y 的库之后被安装为 /usr/local/lib/pythonX 项 （通常是一个 zip 文件或目录），其首先会被添加到 sys.path 的开头。然后，本函数用更新后的路径 查找并执行__main__ 模块。请注意，即便在指定位置不存在主模块，也没有特别的保护措施来防止 调用存在于 sys.path 其他地方的__main__。 利用可选的字典参数 init_globals ，可在代码执行前预填模块的 globals 字典。给出的字典参数不会被修 改。如果

s) 为 forkserver 主进程设置一个可尝试导入的模块名称列表以使得它们已导入的状态被分叉进程所继 承。当执行操作时引发的任何ImportError 会被静默地忽略。这可被用作一种性能增强措施以避 免在每个进程中的重复操作。 要让此方法发挥作用，它必须在 forkserver 进程执行之前被调用（在创建 Pool 或启动Process 之 前）。 仅在使用 'forkserver' LZMA 压缩的文件）的 XML 库。对于攻击者来说，它可以将传输的数据量减少三 个量级或更多。 解析大量词元 Expat 需要重新解析未完成的词元；在没有 Expat 2.6.0 所引入的防护措施的情况下，这会导致 可被用来在解析 XML 的应用程序中制造拒绝服务攻击的指数级运行时间。此问题被称为 CVE 2023-52425。 PyPI 上 defusedxml 的文档包含关于所有已知攻击向量的更多信息并附带示例和参考资料。 用。因此，其影响应降至最低。可执行行的主要预期目的是使相关模块可导入（加载第三方导入钩 子，调整 PATH 等）。如果它发生了，任何其他的初始化都应当在模块实际导入之前完成。将代码块限 制为一行是一种有意采取的措施，不鼓励在此处放置更复杂的内容。 在 3.13 版本发生变更: 现在 .pth 文件会首先使用 UTF-8 来解码，如果失败会再改用locale encoding 来解 码。 例如，假设 sys

s) 为 forkserver 主进程设置一个可尝试导入的模块名称列表以使得它们已导入的状态被分叉进程所继 承。当执行操作时引发的任何ImportError 会被静默地忽略。这可被用作一种性能增强措施以避 免在每个进程中的重复操作。 要让此方法发挥作用，它必须在 forkserver 进程执行之前被调用（在创建 Pool 或启动Process 之 前）。 仅在使用 'forkserver' LZMA 压缩的文件）的 XML 库。对于攻击者来说，它可以将传输的数据量减少三 个量级或更多。 解析大量词元 Expat 需要重新解析未完成的词元；在没有 Expat 2.6.0 所引入的防护措施的情况下，这会导致 可被用来在解析 XML 的应用程序中制造拒绝服务攻击的指数级运行时间。此问题被称为 CVE 2023-52425。 PyPI 上 defusedxml 的文档包含关于所有已知攻击向量的更多信息并附带示例和参考资料。 用。因此，其影响应降至最低。可执行行的主要预期目的是使相关模块可导入（加载第三方导入钩 子，调整 PATH 等）。如果它发生了，任何其他的初始化都应当在模块实际导入之前完成。将代码块限 制为一行是一种有意采取的措施，不鼓励在此处放置更复杂的内容。 例如，假设 sys.prefix 和 sys.exec_prefix 已经被设置为 /usr/local。Python X.Y 的库之后被安装 为 /usr/local/lib/pythonX

s) 为 forkserver 主进程设置一个可尝试导入的模块名称列表以使得它们已导入的状态被分叉进程所继 承。当执行操作时引发的任何ImportError 会被静默地忽略。这可被用作一种性能增强措施以避 免在每个进程中的重复操作。 要让此方法发挥作用，它必须在 forkserver 进程执行之前被调用（在创建 Pool 或启动Process 之 前）。 仅在使用 'forkserver' LZMA 压缩的文件）的 XML 库。对于攻击者来说，它可以将传输的数据量减少三 个量级或更多。 解析大量词元 Expat 需要重新解析未完成的词元；在没有 Expat 2.6.0 所引入的防护措施的情况下，这会导致 可被用来在解析 XML 的应用程序中制造拒绝服务攻击的指数级运行时间。此问题被称为 CVE 2023-52425。 PyPI 上 defusedxml 的文档包含关于所有已知攻击向量的更多信息并附带示例和参考资料。 用。因此，其影响应降至最低。可执行行的主要预期目的是使相关模块可导入（加载第三方导入钩 子，调整 PATH 等）。如果它发生了，任何其他的初始化都应当在模块实际导入之前完成。将代码块限 制为一行是一种有意采取的措施，不鼓励在此处放置更复杂的内容。 在 3.13 版本发生变更: 现在 .pth 文件会首先使用 UTF-8 来解码，如果失败会再改用locale encoding 来解 码。 例如，假设 sys