用Python脚本实现数据的增删改查操作

为什么网络安全人员常用Python处理数据

在日常的网络安全工作中，经常需要对日志、IP黑名单、用户行为记录等数据进行整理和分析。这些任务如果靠手动操作效率极低，而Python脚本正好能快速完成增删改查（CRUD）操作，成为很多安全人员的首选工具。

比如某天你发现服务器被某个IP频繁扫描，想把它加入封禁列表，又或者要从上千条日志里筛选出特定时间段的登录失败记录，这时候写个简单的Python脚本比翻文件快得多。

模拟一个简单的IP管理场景

假设我们有一个存储可疑IP地址的列表，结构是字典组成的列表，每个条目包含IP、备注和添加时间。我们可以用Python来动态维护这个列表。

ip_list = [
    {"ip": "192.168.1.100", "note": "内部测试机", "time": "2024-03-01"},
    {"ip": "103.22.55.67", "note": "恶意扫描源", "time": "2024-03-05"}
]

增加一条记录（Create）

当发现新的可疑IP时，可以直接追加到列表中。

def add_ip(ip, note, time):
    ip_list.append({"ip": ip, "note": note, "time": time})

add_ip("202.11.77.33", "暴力破解尝试", "2024-03-10")

查找匹配的记录（Read）

想要查看某个IP是否在名单里，可以遍历查找。

def find_ip(target_ip):
    for item in ip_list:
        if item["ip"] == target_ip:
            return item
    return None

result = find_ip("103.22.55.67")
if result:
    print(f"找到记录：{result}")

修改已有记录（Update）

有时候原始备注不够清楚，可以更新信息。

def update_note(ip, new_note):
    for item in ip_list:
        if item["ip"] == ip:
            item["note"] = new_note
            break

update_note("192.168.1.100", "已确认为合法设备")

删除危险或过期的条目（Delete）

某些IP经过排查后确认无害，就可以从名单中移除。

def delete_ip(target_ip):
    global ip_list
    ip_list = [item for item in ip_list if item["ip"] != target_ip]

delete_ip("202.11.77.33")

这段代码使用列表推导式过滤掉指定IP，实现删除效果。比起逐个判断再弹出，更简洁也更安全。

结合文件持久化保存数据

上面的操作都在内存中进行，重启就没了。实际使用中通常会把数据存到JSON文件里。

import json

def save_to_file(filename):
    with open(filename, 'w', encoding='utf-8') as f:
        json.dump(ip_list, f, ensure_ascii=False, indent=2)

def load_from_file(filename):
    global ip_list
    try:
        with open(filename, 'r', encoding='utf-8') as f:
            ip_list = json.load(f)
    except FileNotFoundError:
        ip_list = []

每次启动脚本先加载文件，退出前保存一次，就能保证数据不丢失。这种模式非常适合中小型安全工具的数据管理。

这类脚本虽然简单，但用在自动化响应、日志预处理、威胁情报整理等场景中非常实用。关键是门槛不高，学几个基本操作就能上手解决真实问题。