V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
clino
V2EX  ›  SQLAlchemy

是不是只要用 sqlalchemy 就能基本防止 sql 注入? 用 sqlalchemy 来执行 sql 是不是也能防止?

  •  
  •   clino · 2016-01-22 10:27:32 +08:00 · 5593 次点击
    这是一个创建于 3226 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我 google 了一些,但感觉不是很确认.用 orm 方式去用应该是可以防止的,不知道用 sqlalchemy 直接执行 sql 是不是也有防止呢?
    第 1 条附言  ·  2016-09-18 14:49:05 +08:00
    参考 http://blog.csdn.net/slvher/article/details/47154363
    看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
    3 条回复    2016-01-22 11:23:53 +08:00
    yongzhong
        1
    yongzhong  
       2016-01-22 10:57:48 +08:00   ❤️ 1
    https://groups.google.com/forum/#!topic/sqlalchemy/RLtezuLDos4
    只要拼接,就是不安全的,请用参数绑定
    dong3580
        2
    dong3580  
       2016-01-22 11:20:05 +08:00 via Android
    用参数!
    同时尽量前端和后端都要检验非法字符,
    ethego
        3
    ethego  
       2016-01-22 11:23:53 +08:00
    不使用 excute , sqlalchemy 基本上没有问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3416 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 11:32 · PVG 19:32 · LAX 03:32 · JFK 06:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.