Python 如何安全地处理用户输入?
Python安全处理用户输入的核心是不信任外部数据,须验证类型范围、转义上下文、隔离环境:用正则校验格式,参数化防SQL注入,html.escape防XSS,pathlib防路径遍历,pydantic做模型校验,框架启用CSRF/XSS防护,限制请求大小与资源访问。
Python 安全处理用户输入的核心是:不信任任何外部数据,始终做验证、转义和上下文隔离。
对输入内容做类型和范围校验
用户输入可能是字符串、数字、布尔值等,但实际传入的往往都是字符串。直接用 int(input()) 或 json.loads() 解析可能引发异常或逻辑漏洞。
- 用
str.strip()去除首尾空格,避免隐藏字符干扰 - 对数字类输入,先用
str.isdigit()或正则判断格式,再转类型;或用try/except捕获转换异常 - 对邮箱、手机号、日期等,用预编译的正则表达式匹配合法格式(如
r'^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$') - 限制长度(如用户名 ≤20 字符)、禁止特殊字符(如 SQL 关键字、路径分隔符
/、..)
在不同上下文中做针对性转义
同一段输入,在 HTML 渲染、SQL 查询、系统命令、JSON 输出等场景下,风险点和防护方式完全不同。
- 输出到 HTML 页面时,用
html.escape()转义、>、&等字符,防止 XSS - 拼接 SQL 语句时,绝不用字符串格式化(
f"SELECT * FROM users WHERE name = '{name}'"),改用参数化查询(cursor.execute("SELECT * FROM users WHERE name = %s", (name,))) - 调用系统命令前,优先用 Python 原生模块(如
os.listdir()替代os.system(f"ls {path}"));必须调用时,用subprocess.run([...], shell=False)并传入列表参数 - 生成 JSON 时,用
json.dumps()自动处理引号和编码,不要手动拼接
使用成熟库替代手写解析逻辑
很多常见输入格式已有经过安全审计的解析器,比自己写正则或切片更可靠。
- URL 处理用
urllib.parse(如urlparse()、quote()),避免自己拆解 scheme/host/path - 文件路径用
pathlib.Path或os.path.normpath()+os.path.abspath()校验是否在允许目录内,防止路径遍历(../../etc/passwd) - 配置或表单数据用
pydantic定义模型,自动完成类型转换、默认值填充、字段校验(如@validator('age') def age_must_be_positive(cls, v): ...) - Web 框架中启用内置防护:Flask 开启
WTF_CSRF_ENABLED,Django 默认开启 XSS 转义和 CSRF 中间件
设置输入边界与运行环境隔离
即使代码逻辑正确,失控的输入仍可能耗尽资源或突破沙箱。
- 限制请求体大小(如 Flask 的
MAX_CONTENT_LENGTH = 16 * 1024 * 1024) - 对上传文件检查
content_type
- 敏感操作(如删除、转账)要求二次确认或短期 Token 验证,不单靠前端传来的参数
- 在容器或虚拟环境中运行服务,限制 CPU、内存、网络和文件系统访问范围
