编程学习网 > 编程语言 > Python > Python 系统学习:项目安全性与可靠性增强!
2025
02-07

Python 系统学习:项目安全性与可靠性增强!

清华大佬耗费三个月吐血整理的几百G的资源,免费分享!....>>>


在软件开发中,安全性和可靠性是项目成功的关键。Python 作为一门广泛使用的编程语言,在处理敏感数据、用户输入和网络通信时,需要特别注意代码的安全性。通过正确的设计和工具,可以有效减少漏洞风险,提升代码的健壮性和可靠性。



本节将学习 Python 项目中的安全性和可靠性增强技巧,涵盖输入验证、加密、错误处理、日志管理以及单元测试的最佳实践。


一、输入验证与安全性检查


1. 防止代码注入


代码注入是一个常见的安全风险,尤其在处理用户输入时。


示例:避免 SQL 注入


import sqlite3


# 不安全:直接拼接用户输入

def insecure_query(user_input):

    query = f"SELECT * FROM users WHERE username = '{user_input}'"

    cursor.execute(query)


# 安全:使用参数化查询

def secure_query(user_input):

    query = "SELECT * FROM users WHERE username = ?"

    cursor.execute(query, (user_input,))


2. 验证用户输入


使用正则表达式或内置库对用户输入进行格式验证。


import re


def validate_email(email):

    pattern = r'^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$'

    if re.match(pattern, email):

        return True

    return False


email = "example@test.com"

print(validate_email(email))  # 输出:True


二、加密与安全存储


1. 使用哈希存储密码


密码不应以明文存储,应使用哈希算法进行加密。


import bcrypt


# 哈希密码

password = "mypassword"

hashed = bcrypt.hashpw(password.encode(), bcrypt.gensalt())


# 验证密码

print(bcrypt.checkpw(password.encode(), hashed))  # 输出:True


2. 数据加密与解密


使用 cryptography 库对敏感数据进行加密。


安装 cryptography


pip install cryptography


加密与解密示例


from cryptography.fernet import Fernet


# 生成密钥

key = Fernet.generate_key()

cipher = Fernet(key)


# 加密数据

message = "Sensitive Data"

encrypted = cipher.encrypt(message.encode())


# 解密数据

decrypted = cipher.decrypt(encrypted).decode()

print(f"加密数据: {encrypted}")

print(f"解密数据: {decrypted}")


三、错误处理与日志记录


1. 错误处理


设计健壮的错误处理逻辑,避免程序因未处理的异常中断。


try:

    result = 10 / 0

except ZeroDivisionError as e:

    print(f"错误: {e}")

finally:

    print("无论是否发生错误,都会执行")


2. 使用 logging 记录日志


日志记录是定位问题和监控系统运行状态的重要手段。


import logging


# 配置日志

logging.basicConfig(level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s')


logging.info("这是信息日志")

logging.warning("这是警告日志")

logging.error("这是错误日志")


四、单元测试与代码覆盖率


1. 编写单元测试


单元测试可以提高代码可靠性,确保函数按预期工作。


使用 unittest 编写测试


import unittest


def add(a, b):

    return a + b


class TestMath(unittest.TestCase):

    def test_add(self):

        self.assertEqual(add(2, 3), 5)

        self.assertEqual(add(-1, 1), 0)


if __name__ == "__main__":

    unittest.main()


2. 检查代码覆盖率


使用 coverage 工具检查测试覆盖率。


安装 coverage


pip install coverage


运行测试并生成报告


coverage run -m unittest discover

coverage report


五、Web 应用安全性


1. 防御 CSRF 攻击


CSRF(跨站请求伪造)攻击会利用受信任用户的身份执行未授权的操作。使用 CSRF 令牌可以防止此类攻击。


示例:Flask 中启用 CSRF 防护


pip install flask-wtf


from flask import Flask, render_template

from flask_wtf.csrf import CSRFProtect


app = Flask(__name__)

app.secret_key = 'your-secret-key'

csrf = CSRFProtect(app)


@app.route('/')

def index():

    return render_template('index.html')


if __name__ == "__main__":

    app.run(debug=True)


2. 防御 XSS 攻击


XSS(跨站脚本)攻击会注入恶意脚本,窃取用户数据。


示例:使用 HTML 转义


from flask import escape


@app.route('/search')

def search():

    query = request.args.get('q')

    safe_query = escape(query)

    return f"您搜索的是: {safe_query}"


六、实战项目:安全的用户注册与登录系统


1. 项目需求


设计一个安全的用户注册与登录系统,满足以下要求:

存储用户密码时使用哈希。

防止 SQL 注入攻击。

对用户输入进行验证。


2. 示例代码


import sqlite3

import bcrypt

from flask import Flask, request, jsonify


app = Flask(__name__)


# 初始化数据库

def init_db():

    conn = sqlite3.connect("users.db")

    cursor = conn.cursor()

    cursor.execute("CREATE TABLE IF NOT EXISTS users (id INTEGER PRIMARY KEY, username TEXT, password TEXT)")

    conn.commit()

    conn.close()


@app.route('/register', methods=['POST'])

def register():

    data = request.json

    username = data['username']

    password = data['password']


    hashed_password = bcrypt.hashpw(password.encode(), bcrypt.gensalt())

    conn = sqlite3.connect("users.db")

    cursor = conn.cursor()

    cursor.execute("INSERT INTO users (username, password) VALUES (?, ?)", (username, hashed_password))

    conn.commit()

    conn.close()

    return jsonify({"message": "注册成功"})


@app.route('/login', methods=['POST'])

def login():

    data = request.json

    username = data['username']

    password = data['password']


    conn = sqlite3.connect("users.db")

    cursor = conn.cursor()

    cursor.execute("SELECT password FROM users WHERE username = ?", (username,))

    result = cursor.fetchone()

    conn.close()


    if result and bcrypt.checkpw(password.encode(), result[0]):

        return jsonify({"message": "登录成功"})

    return jsonify({"message": "用户名或密码错误"}), 401


if __name__ == "__main__":

    init_db()

    app.run(debug=True)


七、课后练习

1. 改进用户注册与登录系统,加入登录失败的计数和锁定功能。

2. 实现一个日志审计系统,记录系统中所有敏感操作。

3. 在 Flask 项目中启用 HTTPS 加密通信,确保数据传输安全。


总结


通过本节课程,你将掌握 Python 项目安全性和可靠性增强的核心技能,包括输入验证、加密与解密、日志管理、单元测试和 Web 应用安全。安全是每个项目必须关注的核心问题,良好的安全实践能够有效保护用户数据和系统稳定性。

以上就是“Python 系统学习:项目安全性与可靠性增强!”的详细内容,想要了解更多Python教程欢迎持续关注编程学习网。

扫码二维码 获取免费视频学习资料

Python编程学习

查 看2022高级编程视频教程免费获取