是不是只要用 sqlalchemy 就能基本防止 sql 注入? 用 sqlalchemy 来执行 sql 是不是也能防止?
clino · 2016-01-22 10:27:32 +08:00 · 5391 次点击这是一个创建于 3007 天前的主题,其中的信息可能已经有所发展或是发生改变。
我 google 了一些,但感觉不是很确认.用 orm 方式去用应该是可以防止的,不知道用 sqlalchemy 直接执行 sql 是不是也有防止呢?
第 1 条附言 · 2016-09-18 14:49:05 +08:00
参考 http://blog.csdn.net/slvher/article/details/47154363
看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
3 条回复 • 2016-01-22 11:23:53 +08:00
 |
1
yongzhong 2016-01-22 10:57:48 +08:00  1
https://groups.google.com/forum/#!topic/sqlalchemy/RLtezuLDos4
只要拼接,就是不安全的,请用参数绑定 |
 |
2
dong3580 2016-01-22 11:20:05 +08:00 via Android
用参数!
同时尽量前端和后端都要检验非法字符, |
 |
3
ethego 2016-01-22 11:23:53 +08:00
不使用 excute , sqlalchemy 基本上没有问题
|
Select Language