我正在使用瓶子的请求对象来获取用户输入
然后我创建一个字典
dict = {...,
'user_text': request.params.get('user_text'),
...,
}
这本字典是否有可能破坏的输入?例如,以某种方式具有冒号字符。我应该将 request.params.get('user_text') 转换为 unicode
问问题
377 次
2 回答
2
不,因为您没有将用户输入评估为 Python 表达式;请求参数始终是 Python 对象(在这种情况下为字符串)。
只有当您将请求参数解释为某种形式的代码(pickles、SQL、python 表达式用eval()or exec)或允许另一个程序解释参数(浏览器中的 HTML、插入到 JavaScript 中的值等)时,您才需要担心关于逃跑。
于 2013-10-23T11:14:35.043 回答
0
不,你不需要逃避你的user_text参数。没问题,您的 dict 将始终被构建(request.params.get('user_text')当然,如果返回一些东西)。
于 2013-10-23T11:15:57.197 回答