来自 jsp 和 servlet 背景的我很想知道 django 如何应对 SQL 注入(inject)攻击。作为 servlet 和 jsp 开发人员,我会使用准备好的语句,这为我提供了某种形式的保护。 django 如何处理自定义查询,例如自定义搜索字段。
最佳答案
如果您使用查询集,django 将自动转义您的变量。如果您使用 RAW 查询或 .extra 方法之类的东西,您必须格外小心,例如使用参数绑定(bind)。有关整个事情的更多信息可以找到here (关于其他安全问题也是非常好的资源)。
关于django - SQL注入(inject)黑客和django,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3324798/