V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 3759 days ago, the information mentioned may be changed or developed.
我 google 了一些,但感觉不是很确认.用 orm 方式去用应该是可以防止的,不知道用 sqlalchemy 直接执行 sql 是不是也有防止呢?
Supplement 1 Sep 18, 2016
参考 http://blog.csdn.net/slvher/article/details/47154363
看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
看起来用 sqlalchemy 里的 text() 来做参数 binding 应该就能防止, 但是我没看到 sqlalchemy 文档里有针对这块进行说明
3 replies 2016-01-22 11:23:53 +08:00
 | 1 yongzhong Jan 22, 2016  1 https://groups.google.com/forum/#!topic/sqlalchemy/RLtezuLDos4 只要拼接,就是不安全的,请用参数绑定 |
 | 2 dong3580 Jan 22, 2016 via Android 用参数! 同时尽量前端和后端都要检验非法字符, |
 | 3 ethego Jan 22, 2016 不使用 excute , sqlalchemy 基本上没有问题 |
Select Language