Django和SQL注入及其示例
我收到一个来自另一个网站的帖子,下面是我目前得到它的方式。我是Django的新手,但很少有什么事情让我感到不安,我想知道我是否应该担心 SQL注入:因为我无法清理正在使用请求的post数据。post['message']打开是否为SQL注入? 安全:有更好的方法吗Django和SQL注入及其示例,django,security,Django,Security,我收到一个来自另一个网站的帖子,下面是我目前得到它的方式。我是Django的新手,但很少有什么事情让我感到不安,我想知道我是否应该担心 SQL注入:因为我无法清理正在使用请求的post数据。post['message']打开是否为SQL注入? 安全:有更好的方法吗 @csrf_exempt def incoming_message(request): if request.POST: # Match incoming keyword. keyword =
@csrf_exempt
def incoming_message(request):
if request.POST:
# Match incoming keyword.
keyword = Keyword.objects.get(keyword=request.POST['message'])
Django内置了queryset驱动程序
通过使用Django的QuerySet,底层数据库驱动程序将正确转义生成的SQL
因为您使用的是queryset,所以可以进行SQL注入。您可能需要检查一下是否对Django提供的服务感到满意。根据您使用数据的方式,您可能需要自己对其进行转义 Django内置了queryset驱动程序
通过使用Django的QuerySet,底层数据库驱动程序将正确转义生成的SQL
因为您使用的是queryset,所以可以进行SQL注入。您可能需要检查一下是否对Django提供的服务感到满意。根据您使用数据的方式,您可能需要自己对其进行转义 我不明白问题是什么,django将采取必要的措施来正确逃避您的输入我的问题是SQL注入,在其他语言中,我尝试过在不首先清理数据的情况下允许直接筛选等,这非常糟糕,并打开了一个大的安全漏洞。我不明白问题是什么,django会做一些必要的事情来正确地避开您的输入我担心的是SQL注入,在其他语言中,我尝试过在不首先清理数据的情况下允许直接筛选等,这非常糟糕,并打开了一个很大的安全漏洞。