那些遇到过的问题

SQLAlchemy查询是否容易受到注入攻击?

nob*_*ody 10 python security sql-injection flask flask-sqlalchemy

我有以下like用于搜索博客的查询.如果我这样做,我不确定自己是否容易受到SQL注入攻击.SQLAlchemy如何处理这个问题?安全吗?

search_results = Blog.query.with_entities(Blog.blog_title).filter(Blog.blog_title.like("%"+ searchQuery['queryText'] +"%")).all()
Run Code Online (Sandbox Code Playgroud)

dav*_*ism 11

您正在使用的任何数据库(sqlite3,psycopg2等)的基础db-api库都会转义参数.SQLAlchemy只是将语句和参数传递给execute,驱动程序会做任何需要的事情.假设您没有自己编写包含参数的原始SQL,那么您就不容易注入.你的例子不容易注射.

归档时间:

查看次数:

4156 次

最近记录:

10 年,9 月 前
相关归档
Python函数全局变量? 255
如何恢复传递给multiprocessing.Process的函数的返回值? 143
Android游戏不断被黑客入侵 142
附加for循环中生成的pandas数据帧 54
在异常时启动IPython shell 47
Python - 如何用右侧和左侧的空格填充字符串? 41
Flask request.remote_addr在webfaction上是错误的,并且没有显示真实的用户IP 19
使用具有相同 Flask-SQLAlchemy 模型的多个 POSTGRES 数据库和模式 5
为什么我不能在远程计算机上使用模拟打开文件? 3
如何覆盖 Flask 配置中的配置参数? 1
难疑归档
让现有的Git分支跟踪一个远程分支? 3437
.NET中的decimal,float和double之间的区别? 2015
如果目录尚不存在,如何mkdir? 1784
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
<button>与<input type ="button"/>.哪个用? 1588
单击div到底层元素 1500
Git diff对付藏匿处 1265
关闭特定行的eslint规则 1214
哪些字符在CSS类名/选择器中有效? 1171
如何在Java中创建通用数组? 1045