sqlalchemy过滤器和sql注入_Sqlalchemy

sqlalchemy过滤器和sql注入

sqlalchemy

sqlalchemy过滤器和sql注入,sqlalchemy,Sqlalchemy,我接受一个GET查询参数，该参数将用作搜索字符串的一部分如果我有这个： x = request.args['x'] MyTable.query.filter(MyTable.myCol.ilike(x)).one() 我是否容易受到SQL注入攻击编辑-我想我正在使用Postgres和SQLAlchemy 1.0 MyTable.query.filter（MyTable.mycl.ilike（x））.one（）不被视为原始sql，底层db api将转义x.您使用的是哪个版本的SQLAlche

我接受一个GET查询参数，该参数将用作搜索字符串的一部分

如果我有这个：

x = request.args['x']
MyTable.query.filter(MyTable.myCol.ilike(x)).one()

我是否容易受到SQL注入攻击

编辑-我想我正在使用Postgres和SQLAlchemy 1.0

MyTable.query.filter（MyTable.mycl.ilike（x））.one（）

不被视为原始sql，底层db api将转义x.

您使用的是哪个版本的SQLAlchemy？使用哪一个数据库？可能的重复项在国际海事组织中不是重复项。公认的答案可能是错误的，因为它引用了非权威性来源。这个问题也不是关于filter（）的。