SQLAlchemy 查询是否容易受到注入攻击?

【问题标题】:Is a SQLAlchemy query vulnerable to injection attacks?SQLAlchemy 查询是否容易受到注入攻击?
【发布时间】:2015-11-04 03:34:06
【问题描述】:

我有以下使用like 搜索博客的查询。如果我这样做,我不确定我是否会让自己容易受到 SQL 注入攻击。 SQLAlchemy 是如何处理这个问题的?安全吗?

search_results = Blog.query.with_entities(Blog.blog_title).filter(Blog.blog_title.like("%"+ searchQuery['queryText'] +"%")).all()

【问题讨论】:

    标签: python security flask sql-injection flask-sqlalchemy


    【解决方案1】:

    您使用的任何数据库(sqlite3、psycopg2 等)的底层 db-api 库都会转义参数。 SQLAlchemy 只是将语句和参数传递给execute,驱动程序会做任何需要的事情。假设您自己没有编写包含参数的原始 SQL,那么您就不容易受到注入的影响。您的示例不易被注入。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-12-31
      • 1970-01-01
      • 2016-04-29
      • 2015-06-08
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode