python – Django Q对象(复杂查询)是否安全?
作者:互联网
我似乎找不到任何资源来解释Django内置的复杂查询(Q对象或F对象)的安全性.是否可以在这些查询中注入SQL攻击?我做了一个小测试:
from models import *
from django.db.models import Q
q = MyModel.objects.filter(Q(mycolumn__contains='%; DROP DATABASE mydatabase;'))
print q
>>> []
print q.query
>>> SELECT `mydatabase_mytable`.`mycolumn` FROM `mydatabase_mytable` WHERE
`mydatabase_mytable`.`mycolumn` LIKE BINARY %\%; DROP DATABASE mydatabase;%
这似乎没有丢弃我的数据库.这里发生了什么?
解决方法:
从SQL中可以看出,Django正在逃避LIKE子句. Here是对该案例中发生的事情的参考.
一般来说,Django确实可以保护您免受SQL注入攻击. Here是他们的安全页面.请注意,您可能会因执行自定义SQL或不小心使用“额外”而遇到麻烦,否则您将受到保护.
标签:python,security,sql,django,django-q 来源: https://codeday.me/bug/20190609/1206736.html