推荐学习书目 Learn Python the Hard Way Python Sites PyPI - Python Package Index http://diveintopython.org/toc/index.html Pocoo 值得关注的项目 PyPy Celery Jinja2 Read the Docs gevent pyenv virtualenv Stackless Python Beautiful Soup 结巴中文分词 Green Unicorn Sentry Shovel Pyflakes pytest Python 编程 pep8 Checker Styles PEP 8 Google Python Style Guide Code Style from The Hitchhiker's Guide
这是一个创建于 4838 天前的主题,其中的信息可能已经有所发展或是发生改变。
记得flask文档说我们可以专注于开发,安全问题不怎么需要担心?
用peewee或者其他orm就不用管这个问题了吧,如果我直接g.db.execu呢
用peewee或者其他orm就不用管这个问题了吧,如果我直接g.db.execu呢
 | 1 fanzheng 2012-09-21 20:24:40 +08:00  1 http://flask.pocoo.org/docs/patterns/sqlite3/#easy-querying To pass variable parts to the SQL statement, use a question mark in the statement and pass in the arguments as a list. Never directly add them to the SQL statement with string formatting because this makes it possible to attack the application using SQL Injections. |
 | 2 Brutal 2012-09-21 20:32:30 +08:00 我现在在犹豫要不要用ORM。。。 |
 | 3 loading OP @fanzheng 下面这样就不会被注入了么? user = query_db('select * from users where username = ?', [the_username], One=True) 请问怎么写的才是能被注入的,上面的我看起来像可以被注入的。。。 例如the_username=";delete * from users" |
| 4 fanzheng 2012-09-21 21:23:45 +08:00 |
| 5 fanzheng 2012-09-21 21:26:39 +08:00 他说不要这样 user = query_db('select * from users where username = %s' % 请求的参数) 因为%s 里面可以另外构造一个SQL语句。 |
 | 7 gamexg 2012-09-22 09:10:07 +08:00 &bsp; 2 user = query_db('select * from users where username = ?', [the_username], One=True) 这里系统会自动对危险字符进行转义。一般将客户端输入的内容作为 query_db 之类函数参数进行提交的都不用担心注入,而自己通过 %s 之类的构建查询字符串就要小心了。 |
 | 8 stackpop 2012-09-22 17:43:53 +08:00 我用django是自己实现了一个简单的db类 |
Select Language