那些遇到过的问题

如果我使用Flask接收发布数据,将该数据放入WTForms表单并成功验证,是否可以免受SQL注入攻击?

dav*_*gan 5 python mysql sql-injection flask wtforms

我正在为我的应用程序使用Flask,WTForms和OurSQL MySQL库.我从request.form变量收到帖子数据.我把它放到WTForms表单对象中.我调用validate()该表单,然后使用OurSQL将表单数据插入MySQL数据库.

没有做任何额外的处理,我是否可以安全地从SQL注入?WTForms validate方法是否可以逃脱?如果没有,我该怎么做才能逃避数据?我正在做的一个例子如下:

form = MyWTFFormsForm(request.form)
if form.validate():
    cursor.execute("INSERT INTO mytable VALUES (?, ?, ?, ?, ?);",
            (form.field1.data, form.field2.data, form.field3.data,
             form.field4.data,
             form.field5.data))
Run Code Online (Sandbox Code Playgroud)

ick*_*fay 5

据我所知,WTForms和Flask都没有逃脱SQL的数据,但使用像你这样的占位符消除了转义的需要.

归档时间:

查看次数:

2038 次

最近记录:

13 年,11 月 前
相关归档
正则表达式中的"\ d"是否表示数字? 139
用scipy/numpy在python中分箱数据 95
Python 中的 __peg_parser__ 是什么? 55
没有数据库名称的Pdo连接? 16
在大表上添加索引需要永远 15
对于一个或两个字符的字符串,哪个更有效:CHAR(2)还是VARCHAR(2)? 15
显示更新时从Flask视图流式传输的数据 14
Hibernate命名策略更改表名 10
关于Flask中的as_view函数 6
如何在目录中的文件上运行gunicorn? 5
难疑归档
event.preventDefault()与return false 2891
循环内的JavaScript闭包 - 简单实用的例子 2689
"最小的惊讶"和可变的默认论证 2458
如何动态合并两个JavaScript对象的属性? 2338
什么是移动语义? 1614
如何检查字符串是否为数字(浮点数)? 1519
进程和线程有什么区别? 1513
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
CSS calc()函数中的Sass变量 1182
群集和非群集索引实际上意味着什么? 1041