1
使用object.get進行查詢而無需轉義或驗證用戶提交的值是否安全?在Django中使用MyModel.objects.get(name = some_var)時的安全性
例如:
some_var = request.POST.get('some_key')
obj = MyModel.objects.get(name=some_var)
用戶可以提交惡意的數據?
感謝
使用object.get進行查詢而無需轉義或驗證用戶提交的值是否安全?在Django中使用MyModel.objects.get(name = some_var)時的安全性
例如:
some_var = request.POST.get('some_key')
obj = MyModel.objects.get(name=some_var)
用戶可以提交惡意的數據?
感謝
Django的ORM應該採取安全查詢底層DB代表你的照顧。
也可以使用some_var = request.POST ['some_key'] – dotty 2010-03-19 12:57:14
@dotty:您不想從POST字典中以這種方式檢索元素,因爲如果該鍵不存在,則會引發異常。儘可能使用get(),正如巴勃羅所做的那樣。 – 2010-03-19 13:03:40