1

我正在从另一个站点接收传入的 POST,以下是我目前的获取方式。我是 Django 的新手,但很少有事情会突然出现,我想知道我是否应该担心。

SQL 注入:由于我无法清理帖子数据,因此使用request.POST['message']open 是 SQL 注入吗? 安全性:有没有更好的方法来做到这一点?

@csrf_exempt
def incoming_message(request):
    if request.POST:
        # Match incoming keyword.
        keyword = Keyword.objects.get(keyword=request.POST['message'])
4

1 回答 1

6

Django在其查询集驱动程序中内置了SQL 注入预防。

通过使用 Django 的查询集,生成的 SQL 将被底层数据库驱动程序正确转义。

因为您使用的是查询集,所以您可以使用 SQL 注入。您可能想要检查您是否对Django 提供的XSS 保护感到满意。根据您使用数据的方式,您可能需要自己转义它。

于 2013-05-17T23:24:31.860 回答