<分区>
来自用户的数据(如 cookie 值、路由中的可变部分、查询参数)是否应该被视为不安全的并以特定方式处理? Flask 是否已经清理转义输入数据以便将其传递给函数 test(input_data)
是安全的?
<分区>
来自用户的数据(如 cookie 值、路由中的可变部分、查询参数)是否应该被视为不安全的并以特定方式处理? Flask 是否已经清理转义输入数据以便将其传递给函数 test(input_data)
是安全的?
最佳答案
除了从原始 HTTP 请求中解析数据外,Flask 不执行任何请求数据。它无法知道任意函数有哪些约束。检查任何约束由您决定。默认情况下,所有数据都是字符串。不要使用 eval
或 exec
。使用数据库驱动程序的参数化查询来避免 SQL 注入(inject)。如果您使用 Jinja 呈现模板,默认情况下它会转义数据以供在 HTML 中使用。
关于python - Flask 是否已经清理了请求数据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40491145/