是不是只要用 sqlalchemy 就能基本防止 sql 注入? 用 sqlalchemy 来执行 sql 是不是也能防止?
clino 2016-01-22 10:27:32 +08:00 6023 次点击这是一个创建于 3549 天前的主题,其中的信息可能已经有所发展或是发生改变。
我 google 了一些,但感觉不是很确认.用 orm 方式去用应该是可以防止的,不知道用 sqlalchemy 直接执行 sql 是不是也有防止呢?
第 1 条附言 2016-09-18 14:49:05 +08:00
参考 http://blog.csdn.net/slvher/article/details/47154363
看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
3 条回复 2016-01-22 11:23:53 +08:00
 | 1 yongzhong 2016-01-22 10:57:48 +08:00  1 https://groups.google.com/forum/#!topic/sqlalchemy/RLtezuLDos4 只要拼接,就是不安全的,请用参数绑定 |
 | 2 dong3580 2016-01-22 11:20:05 +08:00 via Android 用参数! 同时尽量前端和后端都要检验非法字符, |
 | 3 ethego 2016-01-22 11:23:53 +08:00 不使用 excute , sqlalchemy 基本上没有问题 |
Select Language