<分区>
格式化用户使用 Python 的 format() 函数输入的任何字符串是否有风险,参数/值也来自用户输入?
(例如 user_input_string.format(*user_input_args)
)
<分区>
格式化用户使用 Python 的 format() 函数输入的任何字符串是否有风险,参数/值也来自用户输入?
(例如 user_input_string.format(*user_input_args)
)
最佳答案
该操作本身没有风险,如果用户输入 Python vaid 表达式 - 这不是 eval
ed。
如果结果打算进入 SQL 数据库,您应该考虑在构建 SQL 字符串之前引用它。
关于python - 允许用户在 python 的 format() 中输入是否存在安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46529092/