Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Django和SQL注入及其示例_Django_Security - Fatal编程技术网
Fatal编程技术网
  • django/
  • Django和SQL注入及其示例

Django和SQL注入及其示例

django security

Django和SQL注入及其示例,django,security,Django,Security,我收到一个来自另一个网站的帖子,下面是我目前得到它的方式。我是Django的新手,但很少有什么事情让我感到不安,我想知道我是否应该担心 SQL注入:因为我无法清理正在使用请求的post数据。post['message']打开是否为SQL注入? 安全:有更好的方法吗 @csrf_exempt def incoming_message(request): if request.POST: # Match incoming keyword. keyword =

我收到一个来自另一个网站的帖子,下面是我目前得到它的方式。我是Django的新手,但很少有什么事情让我感到不安,我想知道我是否应该担心

SQL注入:因为我无法清理正在使用请求的post数据。post['message']打开是否为SQL注入? 安全:有更好的方法吗

@csrf_exempt
def incoming_message(request):
    if request.POST:
        # Match incoming keyword.
        keyword = Keyword.objects.get(keyword=request.POST['message'])
Django内置了queryset驱动程序

通过使用Django的QuerySet,底层数据库驱动程序将正确转义生成的SQL

因为您使用的是queryset,所以可以进行SQL注入。您可能需要检查一下是否对Django提供的服务感到满意。根据您使用数据的方式,您可能需要自己对其进行转义

Django内置了queryset驱动程序

通过使用Django的QuerySet,底层数据库驱动程序将正确转义生成的SQL

因为您使用的是queryset,所以可以进行SQL注入。您可能需要检查一下是否对Django提供的服务感到满意。根据您使用数据的方式,您可能需要自己对其进行转义

我不明白问题是什么,django将采取必要的措施来正确逃避您的输入我的问题是SQL注入,在其他语言中,我尝试过在不首先清理数据的情况下允许直接筛选等,这非常糟糕,并打开了一个大的安全漏洞。我不明白问题是什么,django会做一些必要的事情来正确地避开您的输入我担心的是SQL注入,在其他语言中,我尝试过在不首先清理数据的情况下允许直接筛选等,这非常糟糕,并打开了一个很大的安全漏洞。