那些遇到过的问题

Django Q对象(复杂查询)是否安全?

Nat*_*Int 4 python sql security django django-q

我似乎找不到任何资源来解释Django内置的复杂查询(Q对象或F对象)的安全性.是否可以在这些查询中注入SQL攻击?我做了一个小测试:

from models import *
from django.db.models import Q
q = MyModel.objects.filter(Q(mycolumn__contains='%; DROP DATABASE mydatabase;'))
print q
>>> []
print q.query
>>> SELECT `mydatabase_mytable`.`mycolumn` FROM `mydatabase_mytable` WHERE 
    `mydatabase_mytable`.`mycolumn` LIKE BINARY %\%; DROP DATABASE mydatabase;%
Run Code Online (Sandbox Code Playgroud)

这似乎没有丢弃我的数据库.这里发生了什么?

小智 5

从SQL中可以看出,Django正在逃避LIKE子句.以下是对该案例中发生的事情的参考.

一般来说,Django确实可以保护您免受SQL注入攻击.是他们的安全页面.请注意,您可能会因执行自定义SQL或不小心使用"额外"而遇到麻烦,否则您将受到保护.

归档时间:

查看次数:

357 次

最近记录:

10 年,1 月 前
相关归档
获取警告的回溯 55
str.translate给出TypeError - Translate接受一个参数(给定2个),在Python 2中工作 49
你会如何实现一个非常广泛的"表"? 12
PHP(已弃用)mysql模块与MySQLi和PDO的漏洞 12
Django rest框架Router - 如何添加自定义URL和查看功能 11
@login_required重定向到下一个后面的Django 10
生产环境的 Flask-Login 与 Flask-Security 9
这些随机数是"安全的"吗 3
php - 确保纯文本的最安全的方法 1
Asp.net MVC 3加密隐藏值 1
难疑归档
如何从JavaScript中删除数组中的特定元素? 7655
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
使用jQuery禁用/启用输入? 2216
如何确定数组是否包含Java中的特定值? 2194
如何获得$(this)选择器的子节点? 2182
显示两个修订版之间已更改的文件 2041
2048游戏的最佳算法是什么? 1893
如何分析在Linux上运行的C++代码? 1732
如何从GET参数中获取值? 1255
如何旋转Android模拟器显示? 1031